[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f3h_GEQ589JNK8UcR2mkbzfvIzquROZSmLrGTMSzsI7U":3,"white_papers":58},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":8,"featured":16,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":47,"imageUrl":48,"imageThumbUrls":49,"id":57},true,"Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose **Dastra Insights**, une veille juridique et réglementaire **spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA**.\n\n🎯 **Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.**\n\nVoici notre sélection pour **mai 2026** :\n\n## \\[IA - UE\\] Consultation de la Commission sur les obligations de transparence IA\n\n**Date**: 8 mai 2026\\\n**Source**: [Commission européenne](https://digital-strategy.ec.europa.eu/fr/news/commission-opens-consultation-draft-guidelines-ai-transparency-obligations)\n\nLa Commission européenne a ouvert une consultation sur des lignes directrices relatives aux obligations de transparence prévues par l’AI Act. Ces obligations s’appliqueront à partir du **2 août 2026** et concernent notamment l’information des personnes lorsqu’elles interagissent avec un système d’IA, ainsi que le marquage ou la détection de certains contenus générés ou manipulés par IA.\n\nLe sujet est directement opérationnel pour les fournisseurs et déployeurs d’IA, en particulier pour les chatbots, assistants IA, deepfakes, publications générées par IA sur des sujets d’intérêt public, systèmes de reconnaissance des émotions et de catégorisation biométrique. Les juristes et DPO doivent suivre la finalisation de ces lignes directrices, car elles préciseront les attentes de conformité avant l’entrée en application des obligations.\n\nLa consultation est ouverte jusqu’au **3 juin 2026**. La Commission indique également qu’un code de pratique volontaire sur le marquage et l’étiquetage des contenus générés par IA est attendu en **juin 2026**.\n\n## \\[IA-UE\\] Accord politique sur l’AI Omnibus et calendrier des systèmes à haut risque\n\n**Date**: 7 mai 2026\\\n**Source**: [Commission européenne](https://digital-strategy.ec.europa.eu/fr/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens)\n\nLa Commission européenne a annoncé un accord politique entre le Parlement européen et le Conseil sur la simplification de certaines règles de mise en œuvre de l’AI Act dans le cadre du paquet dit **Digital Omnibus on AI**. L’accord modifie notamment le calendrier d’application pour certains systèmes d’IA à haut risque.\n\nLes règles applicables aux systèmes à haut risque dans des domaines tels que la biométrie, les infrastructures critiques, l’éducation, l’emploi, la migration, l’asile ou le contrôle aux frontières s’appliqueraient à partir du **2 décembre 2027**. Pour les systèmes intégrés dans certains produits, comme les jouets ou ascenseurs, l’échéance serait fixée au **2 août 2028**.\n\nPour les équipes conformité, l’enjeu est double : éviter de considérer ce report comme une suspension générale de l’AI Act, et ajuster les feuilles de route de mise en conformité selon les catégories de systèmes. Les obligations déjà applicables ou proches de l’être, notamment en matière de pratiques interdites, d’AI literacy, de GPAI et de transparence, restent à traiter séparément.\n\n## \\[IA-UE\\] La Commission publie un projet de lignes directrices sur la classification des systèmes d’IA à haut risque\n\n**Date**: 19 mai 2026\\\n**Source**: [Commission européenne - Guidelines for providers and deployers of AI high-risk systems](https://digital-strategy.ec.europa.eu/en/policies/guidelines-ai-high-risk-systems)\n\nLa Commission européenne a publié un **projet de lignes directrices** destiné à aider les fournisseurs et déployeurs à déterminer si un système d’IA doit être qualifié de **système à haut risque** au sens de l’AI Act. Le document clarifie l’interprétation de la classification et contient des exemples pratiques couvrant les principaux domaines visés.\n\nLes lignes directrices ne sont pas juridiquement contraignantes à ce stade, mais la Commission précise qu’elles reflètent son interprétation et orienteront l’application du règlement. Elles sont soumises à une consultation ciblée ouverte jusqu’au **23 juin 2026**, avant adoption de la version finale.\n\n{% button href=\"https://www.dastra.eu/fr/blog/projet-des-lignes-directrices-ai-act-sur-les-systemes-dia-a-haut-risque/60072\" text=\"Consultez notre article ici \" target=\"\\_blank\" role=\"button\" class=\"btn btn-primary\" %}\n\n## \\[IA-UE\\] Rapport annuel sur les pratiques interdites et cas à haut risque\n\n**Date**: 22 mai 2026\\\n**Source**: [Commission européenne](https://digital-strategy.ec.europa.eu/FR/library/report-review-prohibitions-and-high-risk-ai)\n\nLa Commission a publié un rapport d’examen sur la nécessité éventuelle de modifier la liste des pratiques d’IA interdites et des cas d’usage à haut risque prévus par l’AI Act. Ce rapport s’inscrit dans le mécanisme de suivi prévu à l’article 112 de l’AI Act.\n\nLa Commission relève notamment que l’évaluation de certaines pratiques particulièrement préjudiciables reste à un stade précoce, mais mentionne l’accord politique sur l’AI Omnibus incluant l’interdiction de systèmes générant des contenus sexuellement explicites ou intimes non consensuels, y compris certaines applications dites de “nudification”.\n\nPour les juristes et DPO, ce rapport confirme que la cartographie des usages IA à haut risque ne doit pas être figée : les listes de l’AI Act sont susceptibles d’évoluer au rythme des risques technologiques, notamment en matière de biométrie, contenus synthétiques, protection des mineurs et atteintes aux droits fondamentaux.\n\n## \\[IA\\] Sensibilisation CNIL-PIPC sur IA générative et vie privée\n\n**Date**: 27 mai 2026\\\n**Source**: [CNIL - IA générative et vie privée](https://www.cnil.fr/fr/ia-generative-et-vie-privee-affiche-coproduite-pipc-cnil)\n\nLa CNIL et la PIPC, autorité coréenne de protection des données, ont publié une affiche de sensibilisation consacrée à l’usage des services d’IA générative et à la protection des données personnelles. L’initiative s’inscrit dans leur coopération engagée depuis 2022.\n\nMême si le document vise largement la sensibilisation des utilisateurs, il est utile pour les programmes internes de privacy awareness, notamment dans les organisations qui déploient des outils d’IA générative auprès de salariés, d’étudiants, d’agents publics ou de publics jeunes.\n\nPour les DPO, l’intérêt pratique réside dans l’intégration de messages simples aux politiques internes d’usage de l’IA : éviter la saisie de données personnelles ou sensibles dans des outils non maîtrisés, vérifier les paramètres de confidentialité, et sensibiliser aux risques de réutilisation des prompts et contenus fournis.\n\n## \\[IA - UK\\] L’ICO annonce ses priorités pour l’innovation IA “sûre”\n\n**Date**: 29 mai 2026\\\n**Source**: [ICO - Response to government on safe AI-powered innovation](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/ico-response-to-government-on-safe-ai-powered-innovation/)\n\nL’ICO a publié sa réponse au gouvernement britannique sur l’innovation IA sûre. Le régulateur annonce des travaux pour 2026/2027 afin de renforcer la confiance des consommateurs et la sécurité juridique des entreprises sur l’application du droit de la protection des données à l’IA.\n\nLes axes annoncés incluent notamment le développement d’un **AI code of practice**, des orientations dédiées à l’**agentic AI**, ainsi qu’un accompagnement des consommateurs dans un environnement IA de plus en plus personnalisé.\n\nPour les juristes et DPO opérant au Royaume-Uni, cette annonce signale les prochains points de doctrine de l’ICO. Les projets IA impliquant de l’ADM, des données biométriques, des modèles agentiques ou de la personnalisation devraient être anticipés dans les DPIA, politiques de gouvernance IA et revues contractuelles.\n\n## \\[Santé-FR\\] Sanction de 5 millions d’euros contre IQVIA\n\n**Date**: 28 mai 2026\\\n**Source**: [CNIL - Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA](https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia)\n\nLa CNIL a sanctionné IQVIA Operations France à hauteur de **5 millions d’euros** pour des manquements liés à la gestion d’entrepôts de données de santé. La décision porte notamment sur le non-respect de garanties destinées à limiter les risques pour les personnes concernées.\n\nUn point particulièrement important concerne la qualification des données : IQVIA soutenait que les données étaient anonymes, mais la formation restreinte a considéré qu’elles étaient seulement pseudonymes, dès lors qu’une réidentification restait possible avec des moyens raisonnables.\n\nCette décision est structurante pour les acteurs de la santé, de la recherche, des études pharmaceutiques et de la data science. Elle rappelle que la pseudonymisation ne fait pas sortir les données du champ du RGPD et que les autorisations ou cadres de traitement doivent être respectés en pratique, pas seulement dans la documentation initiale.\n\n## \\[RGPD-FR\\] CNIL : Rapport annuel 2025, priorités IA, cybersécurité et coopération européenne\n\n**Date**: 18 mai 2026\\\n**Source**: [CNIL - Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025](https://cnil.fr/fr/rapport-annuel-2025)\n\nLa CNIL a publié son **rapport annuel 2025**, qui met en avant une année marquée par une hausse des plaintes, un niveau inédit d’amendes, un record de notifications de violations de données et la préparation de l’autorité à ses nouvelles missions liées à l’AI Act.\n\nLe rapport confirme trois priorités structurantes : la **régulation de l’intelligence artificielle**, la **cybersécurité** et la **coopération européenne**. Sur l’IA, la CNIL rappelle ses travaux d’accompagnement sur l’IA générative, la publication de ressources pour concepteurs et développeurs, et sa future montée en charge au titre de l’AI Act. Sur la cybersécurité, elle indique avoir reçu **6 167 notifications de violations de données** en 2025, dont environ un incident sur deux lié à un piratage.\n\nL’information la plus opérationnelle est l’annonce selon laquelle, en **2026**, la CNIL consacrera **50 % de ses contrôles et actions répressives** aux manquements en matière de sécurité des données. Les DPO doivent en tirer une conséquence pratique : la preuve des mesures de sécurité, la gestion des prestataires, la documentation des incidents, les AIPD et la gouvernance cyber/RGPD deviennent des points de contrôle prioritaires.\n\n## \\[RGPD-FR\\] Cour d'appel Douai : la non-conformité RGPD d’un site web peut entraîner la nullité du contrat\n\n**Date**: 7 mai 2026\\\n**Source**: [Cour de cassation - CA Douai, 7 mai 2026, RG n° 22/05075](https://www.courdecassation.fr/decision/69fd7dbdcdc6046d47043e30)\n\nLa Cour d’appel de Douai a prononcé la nullité d’un contrat de création et de location de site internet pour **erreur sur les qualités essentielles** du site livré. Le litige opposait la société **Auffray Paysage** à la société **Axecibles**, prestataire chargé de la création du site. La Cour retient que le site collectait des données personnelles dans des conditions non conformes au RGPD et à la réglementation cookies.\n\nLa décision relève notamment que des cookies, dont un cookie Google Analytics, s’installaient automatiquement malgré l’absence de choix valide de l’internaute. La Cour mentionne aussi les traitements liés au formulaire de contact et au bouton de rappel gratuit. Elle rappelle que la poursuite de la navigation ne constitue pas un consentement valable et que les exigences en matière de consentement aux traceurs ne sont pas de simples recommandations.\n\nL’intérêt pratique est important pour les contrats IT et web : la conformité RGPD n’est pas seulement un sujet de sanction administrative par la CNIL. Elle peut aussi devenir une **qualité essentielle attendue du service livré**, dont l’absence affecte la validité du contrat. Les prestataires numériques doivent donc intégrer la conformité privacy by design dans leurs livrables, et les clients doivent encadrer contractuellement les obligations relatives aux cookies, formulaires, analytics, sécurité et documentation de conformité.\n\n## \\[Santé-FR\\] CNIL: mise à jour des méthodologies de référence MR-001 et MR-003\n\n**Date**: 26 mai 2026\\\n**Source**: [CNIL - Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003](https://www.cnil.fr/fr/recherche-en-sante-la-cnil-met-jour-et-elargit-le-champ-des-methodologies-de-reference-001-et-003) ; voir aussi les grilles de conformité [MR-001 / MR-003](https://cnil.fr/fr/methodologies-de-reference-pour-les-recherches-en-sante-verifier-sa-conformite-aux-mr-001-et-mr-003)\n\nLa CNIL a annoncé la mise à jour et l’élargissement des méthodologies de référence **MR-001** et **MR-003**, qui encadrent certains traitements de données de santé à des fins de recherche. La MR-001 vise les recherches nécessitant le recueil du consentement, tandis que la MR-003 s’applique aux recherches ne nécessitant pas ce consentement pour la participation à la recherche.\n\nLes évolutions portent notamment sur le champ d’application, les catégories de données, les destinataires, l’information des personnes, la sécurité, les transferts hors Union européenne et le recours aux sous-traitants. La CNIL précise également que les nouvelles MR sont complétées par des annexes relatives à la sécurité et au contrôle qualité, ainsi que par des versions annotées et des grilles de conformité.\n\nPour les responsables de traitement, promoteurs, CRO, établissements de santé et DPO, l’enjeu est très concret : lorsqu’une recherche est conforme à la méthodologie de référence applicable, elle peut être menée sur la base d’un engagement de conformité, sans autorisation préalable de la CNIL. En revanche, les recherches non conformes doivent être documentées et, selon les cas, soumises à autorisation. Les recherches ou modifications substantielles mises en œuvre à compter du **23 mai 2026** doivent être analysées au regard des nouvelles versions.\n\n## \\[Cloud\\] La CNIL précise les qualifications RGPD des acteurs cloud\n\n**Date**: 28 mai 2026\\\n**Source**: [CNIL - Quelles qualifications pour les acteurs de l’informatique en nuage ?](https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud)\n\nLa CNIL a publié des orientations sur la qualification des acteurs cloud au regard du RGPD : responsable de traitement, responsable conjoint ou sous-traitant. Elle distingue notamment les traitements liés à la fourniture du service, à l’amélioration du service, à la sécurité “du” cloud et à la sécurité “dans” le cloud.\n\nCette clarification est très utile pour les contrats cloud, les analyses de risques, les clauses de sous-traitance, la documentation de conformité et la gestion des demandes d’exercice de droits. La CNIL insiste sur le fait que la qualification dépend d’une analyse concrète du degré de contrôle du fournisseur, des finalités poursuivies et des moyens essentiels du traitement.\n\nPour les DPO, le point pratique est clair : les traitements d’amélioration du service ou de sécurité globale opérés par le fournisseur ne doivent pas être automatiquement rangés dans la sous-traitance. Ils peuvent, selon les cas, relever d’une responsabilité propre du fournisseur.\n\n## \\[Cyber-UE\\] NIS2 : adoption de modèles communs de notification d’incidents\n\n**Date**: 26 mai 2026\\\n**Source**: [Commission européenne - NIS2 Cooperation Group adopts common templates for incident reporting](https://digital-strategy.ec.europa.eu/en/news/nis2-cooperation-group-adopts-common-templates-incident-reporting)\n\nLe groupe de coopération NIS2, réunissant les États membres, la Commission européenne et l’ENISA, a adopté des modèles communs de notification d’incidents de cybersécurité. L’adoption est intervenue lors de la **39e réunion plénière à Chypre**.\n\nCes modèles ont pour objectif d’harmoniser les champs de notification dans l’Union européenne et de réduire la charge administrative des entités essentielles et importantes opérant dans plusieurs États membres. La Commission indique qu’elle prévoit d’adopter ces modèles par un **acte d’exécution**, ce qui les rendrait obligatoires pour l’ensemble des États membres.\n\nPour les DPO et juristes conformité, l’intérêt est immédiat : un incident peut déclencher simultanément une notification NIS2 auprès du CSIRT ou de l’autorité compétente, et une notification RGPD auprès de l’autorité de protection des données lorsque des données personnelles sont concernées. Les procédures internes de gestion d’incident doivent donc articuler les délais NIS2, notamment l’alerte précoce à 24 heures et la notification à 72 heures, avec l’article 33 du RGPD.\n\n## \\[Cyber- UK\\] L’ICO publie cinq mesures contre les menaces cyber renforcées par l’IA\n\n**Date**: 14 mai 2026\\\n**Source**: [ICO - Five steps to protect your organisation from AI-powered cyber threats](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/five-steps-to-protect-your-organisation-from-ai-powered-cyber-threats/)\n\nL’ICO a publié des recommandations pratiques pour aider les organisations à faire face aux cybermenaces amplifiées par l’IA, notamment le phishing généré par IA, l’automatisation de la recherche de vulnérabilités, la compromission d’identifiants et le data poisoning.\n\nLe régulateur rappelle que les obligations du UK GDPR imposent des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Il souligne aussi l’importance d’une DPIA et de garde-fous lorsque des outils IA traitent des données à risque élevé.\n\nCette publication est utile pour relier les programmes IA governance et cyber compliance. Les DPO devraient s’assurer que les risques propres aux systèmes IA, y compris les attaques sur les modèles, les données d’entraînement ou les sorties, sont intégrés dans les analyses de risques et la documentation de sécurité.","\u003Cp>Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose \u003Cstrong>Dastra Insights\u003C/strong>, une veille juridique et réglementaire \u003Cstrong>spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA\u003C/strong>.\u003C/p>\n\u003Cp>🎯 \u003Cstrong>Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.\u003C/strong>\u003C/p>\n\u003Cp>Voici notre sélection pour \u003Cstrong>mai 2026\u003C/strong> :\u003C/p>\n\u003Ch2 id=\"ia-ue-consultation-de-la-commission-sur-les-obligations-de-transparence-ia\">[IA - UE] Consultation de la Commission sur les obligations de transparence IA\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 8 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/fr/news/commission-opens-consultation-draft-guidelines-ai-transparency-obligations\" rel=\"nofollow\">Commission européenne\u003C/a>\u003C/p>\n\u003Cp>La Commission européenne a ouvert une consultation sur des lignes directrices relatives aux obligations de transparence prévues par l’AI Act. Ces obligations s’appliqueront à partir du \u003Cstrong>2 août 2026\u003C/strong> et concernent notamment l’information des personnes lorsqu’elles interagissent avec un système d’IA, ainsi que le marquage ou la détection de certains contenus générés ou manipulés par IA.\u003C/p>\n\u003Cp>Le sujet est directement opérationnel pour les fournisseurs et déployeurs d’IA, en particulier pour les chatbots, assistants IA, deepfakes, publications générées par IA sur des sujets d’intérêt public, systèmes de reconnaissance des émotions et de catégorisation biométrique. Les juristes et DPO doivent suivre la finalisation de ces lignes directrices, car elles préciseront les attentes de conformité avant l’entrée en application des obligations.\u003C/p>\n\u003Cp>La consultation est ouverte jusqu’au \u003Cstrong>3 juin 2026\u003C/strong>. La Commission indique également qu’un code de pratique volontaire sur le marquage et l’étiquetage des contenus générés par IA est attendu en \u003Cstrong>juin 2026\u003C/strong>.\u003C/p>\n\u003Ch2 id=\"ia-ue-accord-politique-sur-lai-omnibus-et-calendrier-des-systemes-a-haut-risque\">[IA-UE] Accord politique sur l’AI Omnibus et calendrier des systèmes à haut risque\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 7 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/fr/news/eu-agrees-simplify-ai-rules-boost-innovation-and-ban-nudification-apps-protect-citizens\" rel=\"nofollow\">Commission européenne\u003C/a>\u003C/p>\n\u003Cp>La Commission européenne a annoncé un accord politique entre le Parlement européen et le Conseil sur la simplification de certaines règles de mise en œuvre de l’AI Act dans le cadre du paquet dit \u003Cstrong>Digital Omnibus on AI\u003C/strong>. L’accord modifie notamment le calendrier d’application pour certains systèmes d’IA à haut risque.\u003C/p>\n\u003Cp>Les règles applicables aux systèmes à haut risque dans des domaines tels que la biométrie, les infrastructures critiques, l’éducation, l’emploi, la migration, l’asile ou le contrôle aux frontières s’appliqueraient à partir du \u003Cstrong>2 décembre 2027\u003C/strong>. Pour les systèmes intégrés dans certains produits, comme les jouets ou ascenseurs, l’échéance serait fixée au \u003Cstrong>2 août 2028\u003C/strong>.\u003C/p>\n\u003Cp>Pour les équipes conformité, l’enjeu est double : éviter de considérer ce report comme une suspension générale de l’AI Act, et ajuster les feuilles de route de mise en conformité selon les catégories de systèmes. Les obligations déjà applicables ou proches de l’être, notamment en matière de pratiques interdites, d’AI literacy, de GPAI et de transparence, restent à traiter séparément.\u003C/p>\n\u003Ch2 id=\"ia-ue-la-commission-publie-un-projet-de-lignes-directrices-sur-la-classification-des-systemes-dia-a-haut-risque\">[IA-UE] La Commission publie un projet de lignes directrices sur la classification des systèmes d’IA à haut risque\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 19 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/policies/guidelines-ai-high-risk-systems\" rel=\"nofollow\">Commission européenne - Guidelines for providers and deployers of AI high-risk systems\u003C/a>\u003C/p>\n\u003Cp>La Commission européenne a publié un \u003Cstrong>projet de lignes directrices\u003C/strong> destiné à aider les fournisseurs et déployeurs à déterminer si un système d’IA doit être qualifié de \u003Cstrong>système à haut risque\u003C/strong> au sens de l’AI Act. Le document clarifie l’interprétation de la classification et contient des exemples pratiques couvrant les principaux domaines visés.\u003C/p>\n\u003Cp>Les lignes directrices ne sont pas juridiquement contraignantes à ce stade, mais la Commission précise qu’elles reflètent son interprétation et orienteront l’application du règlement. Elles sont soumises à une consultation ciblée ouverte jusqu’au \u003Cstrong>23 juin 2026\u003C/strong>, avant adoption de la version finale.\u003C/p>\n\u003Cdiv class=\"content-btn-container\">\u003Ca href=\"https://www.dastra.eu/fr/blog/projet-des-lignes-directrices-ai-act-sur-les-systemes-dia-a-haut-risque/60072\" target=\"_blank\" role=\"button\" class=\"btn btn-primary\">Consultez notre article ici \u003C/a>\u003C/div>\n\u003Ch2 id=\"ia-ue-rapport-annuel-sur-les-pratiques-interdites-et-cas-a-haut-risque\">[IA-UE] Rapport annuel sur les pratiques interdites et cas à haut risque\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 22 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/FR/library/report-review-prohibitions-and-high-risk-ai\" rel=\"nofollow\">Commission européenne\u003C/a>\u003C/p>\n\u003Cp>La Commission a publié un rapport d’examen sur la nécessité éventuelle de modifier la liste des pratiques d’IA interdites et des cas d’usage à haut risque prévus par l’AI Act. Ce rapport s’inscrit dans le mécanisme de suivi prévu à l’article 112 de l’AI Act.\u003C/p>\n\u003Cp>La Commission relève notamment que l’évaluation de certaines pratiques particulièrement préjudiciables reste à un stade précoce, mais mentionne l’accord politique sur l’AI Omnibus incluant l’interdiction de systèmes générant des contenus sexuellement explicites ou intimes non consensuels, y compris certaines applications dites de “nudification”.\u003C/p>\n\u003Cp>Pour les juristes et DPO, ce rapport confirme que la cartographie des usages IA à haut risque ne doit pas être figée : les listes de l’AI Act sont susceptibles d’évoluer au rythme des risques technologiques, notamment en matière de biométrie, contenus synthétiques, protection des mineurs et atteintes aux droits fondamentaux.\u003C/p>\n\u003Ch2 id=\"ia-sensibilisation-cnil-pipc-sur-ia-generative-et-vie-privee\">[IA] Sensibilisation CNIL-PIPC sur IA générative et vie privée\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 27 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/ia-generative-et-vie-privee-affiche-coproduite-pipc-cnil\" rel=\"nofollow\">CNIL - IA générative et vie privée\u003C/a>\u003C/p>\n\u003Cp>La CNIL et la PIPC, autorité coréenne de protection des données, ont publié une affiche de sensibilisation consacrée à l’usage des services d’IA générative et à la protection des données personnelles. L’initiative s’inscrit dans leur coopération engagée depuis 2022.\u003C/p>\n\u003Cp>Même si le document vise largement la sensibilisation des utilisateurs, il est utile pour les programmes internes de privacy awareness, notamment dans les organisations qui déploient des outils d’IA générative auprès de salariés, d’étudiants, d’agents publics ou de publics jeunes.\u003C/p>\n\u003Cp>Pour les DPO, l’intérêt pratique réside dans l’intégration de messages simples aux politiques internes d’usage de l’IA : éviter la saisie de données personnelles ou sensibles dans des outils non maîtrisés, vérifier les paramètres de confidentialité, et sensibiliser aux risques de réutilisation des prompts et contenus fournis.\u003C/p>\n\u003Ch2 id=\"ia-uk-lico-annonce-ses-priorites-pour-linnovation-ia-sure\">[IA - UK] L’ICO annonce ses priorités pour l’innovation IA “sûre”\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 29 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/ico-response-to-government-on-safe-ai-powered-innovation/\" rel=\"nofollow\">ICO - Response to government on safe AI-powered innovation\u003C/a>\u003C/p>\n\u003Cp>L’ICO a publié sa réponse au gouvernement britannique sur l’innovation IA sûre. Le régulateur annonce des travaux pour 2026/2027 afin de renforcer la confiance des consommateurs et la sécurité juridique des entreprises sur l’application du droit de la protection des données à l’IA.\u003C/p>\n\u003Cp>Les axes annoncés incluent notamment le développement d’un \u003Cstrong>AI code of practice\u003C/strong>, des orientations dédiées à l’\u003Cstrong>agentic AI\u003C/strong>, ainsi qu’un accompagnement des consommateurs dans un environnement IA de plus en plus personnalisé.\u003C/p>\n\u003Cp>Pour les juristes et DPO opérant au Royaume-Uni, cette annonce signale les prochains points de doctrine de l’ICO. Les projets IA impliquant de l’ADM, des données biométriques, des modèles agentiques ou de la personnalisation devraient être anticipés dans les DPIA, politiques de gouvernance IA et revues contractuelles.\u003C/p>\n\u003Ch2 id=\"sante-fr-sanction-de-5-millions-deuros-contre-iqvia\">[Santé-FR] Sanction de 5 millions d’euros contre IQVIA\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 28 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/donnees-sante-sanction-5-millions-iqvia\" rel=\"nofollow\">CNIL - Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA\u003C/a>\u003C/p>\n\u003Cp>La CNIL a sanctionné IQVIA Operations France à hauteur de \u003Cstrong>5 millions d’euros\u003C/strong> pour des manquements liés à la gestion d’entrepôts de données de santé. La décision porte notamment sur le non-respect de garanties destinées à limiter les risques pour les personnes concernées.\u003C/p>\n\u003Cp>Un point particulièrement important concerne la qualification des données : IQVIA soutenait que les données étaient anonymes, mais la formation restreinte a considéré qu’elles étaient seulement pseudonymes, dès lors qu’une réidentification restait possible avec des moyens raisonnables.\u003C/p>\n\u003Cp>Cette décision est structurante pour les acteurs de la santé, de la recherche, des études pharmaceutiques et de la data science. Elle rappelle que la pseudonymisation ne fait pas sortir les données du champ du RGPD et que les autorisations ou cadres de traitement doivent être respectés en pratique, pas seulement dans la documentation initiale.\u003C/p>\n\u003Ch2 id=\"rgpd-fr-cnil-rapport-annuel-2025-priorites-ia-cybersecurite-et-cooperation-europeenne\">[RGPD-FR] CNIL : Rapport annuel 2025, priorités IA, cybersécurité et coopération européenne\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 18 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://cnil.fr/fr/rapport-annuel-2025\" rel=\"nofollow\">CNIL - Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025\u003C/a>\u003C/p>\n\u003Cp>La CNIL a publié son \u003Cstrong>rapport annuel 2025\u003C/strong>, qui met en avant une année marquée par une hausse des plaintes, un niveau inédit d’amendes, un record de notifications de violations de données et la préparation de l’autorité à ses nouvelles missions liées à l’AI Act.\u003C/p>\n\u003Cp>Le rapport confirme trois priorités structurantes : la \u003Cstrong>régulation de l’intelligence artificielle\u003C/strong>, la \u003Cstrong>cybersécurité\u003C/strong> et la \u003Cstrong>coopération européenne\u003C/strong>. Sur l’IA, la CNIL rappelle ses travaux d’accompagnement sur l’IA générative, la publication de ressources pour concepteurs et développeurs, et sa future montée en charge au titre de l’AI Act. Sur la cybersécurité, elle indique avoir reçu \u003Cstrong>6 167 notifications de violations de données\u003C/strong> en 2025, dont environ un incident sur deux lié à un piratage.\u003C/p>\n\u003Cp>L’information la plus opérationnelle est l’annonce selon laquelle, en \u003Cstrong>2026\u003C/strong>, la CNIL consacrera \u003Cstrong>50 % de ses contrôles et actions répressives\u003C/strong> aux manquements en matière de sécurité des données. Les DPO doivent en tirer une conséquence pratique : la preuve des mesures de sécurité, la gestion des prestataires, la documentation des incidents, les AIPD et la gouvernance cyber/RGPD deviennent des points de contrôle prioritaires.\u003C/p>\n\u003Ch2 id=\"rgpd-fr-cour-dappel-douai-la-non-conformite-rgpd-dun-site-web-peut-entrainer-la-nullite-du-contrat\">[RGPD-FR] Cour d'appel Douai : la non-conformité RGPD d’un site web peut entraîner la nullité du contrat\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 7 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://www.courdecassation.fr/decision/69fd7dbdcdc6046d47043e30\" rel=\"nofollow\">Cour de cassation - CA Douai, 7 mai 2026, RG n° 22/05075\u003C/a>\u003C/p>\n\u003Cp>La Cour d’appel de Douai a prononcé la nullité d’un contrat de création et de location de site internet pour \u003Cstrong>erreur sur les qualités essentielles\u003C/strong> du site livré. Le litige opposait la société \u003Cstrong>Auffray Paysage\u003C/strong> à la société \u003Cstrong>Axecibles\u003C/strong>, prestataire chargé de la création du site. La Cour retient que le site collectait des données personnelles dans des conditions non conformes au RGPD et à la réglementation cookies.\u003C/p>\n\u003Cp>La décision relève notamment que des cookies, dont un cookie Google Analytics, s’installaient automatiquement malgré l’absence de choix valide de l’internaute. La Cour mentionne aussi les traitements liés au formulaire de contact et au bouton de rappel gratuit. Elle rappelle que la poursuite de la navigation ne constitue pas un consentement valable et que les exigences en matière de consentement aux traceurs ne sont pas de simples recommandations.\u003C/p>\n\u003Cp>L’intérêt pratique est important pour les contrats IT et web : la conformité RGPD n’est pas seulement un sujet de sanction administrative par la CNIL. Elle peut aussi devenir une \u003Cstrong>qualité essentielle attendue du service livré\u003C/strong>, dont l’absence affecte la validité du contrat. Les prestataires numériques doivent donc intégrer la conformité privacy by design dans leurs livrables, et les clients doivent encadrer contractuellement les obligations relatives aux cookies, formulaires, analytics, sécurité et documentation de conformité.\u003C/p>\n\u003Ch2 id=\"sante-fr-cnil-mise-a-jour-des-methodologies-de-reference-mr-001-et-mr-003\">[Santé-FR] CNIL: mise à jour des méthodologies de référence MR-001 et MR-003\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 26 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/recherche-en-sante-la-cnil-met-jour-et-elargit-le-champ-des-methodologies-de-reference-001-et-003\" rel=\"nofollow\">CNIL - Recherche en santé : la CNIL met à jour et élargit le champ des méthodologies de référence 001 et 003\u003C/a> ; voir aussi les grilles de conformité \u003Ca href=\"https://cnil.fr/fr/methodologies-de-reference-pour-les-recherches-en-sante-verifier-sa-conformite-aux-mr-001-et-mr-003\" rel=\"nofollow\">MR-001 / MR-003\u003C/a>\u003C/p>\n\u003Cp>La CNIL a annoncé la mise à jour et l’élargissement des méthodologies de référence \u003Cstrong>MR-001\u003C/strong> et \u003Cstrong>MR-003\u003C/strong>, qui encadrent certains traitements de données de santé à des fins de recherche. La MR-001 vise les recherches nécessitant le recueil du consentement, tandis que la MR-003 s’applique aux recherches ne nécessitant pas ce consentement pour la participation à la recherche.\u003C/p>\n\u003Cp>Les évolutions portent notamment sur le champ d’application, les catégories de données, les destinataires, l’information des personnes, la sécurité, les transferts hors Union européenne et le recours aux sous-traitants. La CNIL précise également que les nouvelles MR sont complétées par des annexes relatives à la sécurité et au contrôle qualité, ainsi que par des versions annotées et des grilles de conformité.\u003C/p>\n\u003Cp>Pour les responsables de traitement, promoteurs, CRO, établissements de santé et DPO, l’enjeu est très concret : lorsqu’une recherche est conforme à la méthodologie de référence applicable, elle peut être menée sur la base d’un engagement de conformité, sans autorisation préalable de la CNIL. En revanche, les recherches non conformes doivent être documentées et, selon les cas, soumises à autorisation. Les recherches ou modifications substantielles mises en œuvre à compter du \u003Cstrong>23 mai 2026\u003C/strong> doivent être analysées au regard des nouvelles versions.\u003C/p>\n\u003Ch2 id=\"cloud-la-cnil-precise-les-qualifications-rgpd-des-acteurs-cloud\">[Cloud] La CNIL précise les qualifications RGPD des acteurs cloud\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 28 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://www.cnil.fr/fr/quelles-qualifications-pour-les-acteurs-de-linformatique-en-nuage-cloud\" rel=\"nofollow\">CNIL - Quelles qualifications pour les acteurs de l’informatique en nuage ?\u003C/a>\u003C/p>\n\u003Cp>La CNIL a publié des orientations sur la qualification des acteurs cloud au regard du RGPD : responsable de traitement, responsable conjoint ou sous-traitant. Elle distingue notamment les traitements liés à la fourniture du service, à l’amélioration du service, à la sécurité “du” cloud et à la sécurité “dans” le cloud.\u003C/p>\n\u003Cp>Cette clarification est très utile pour les contrats cloud, les analyses de risques, les clauses de sous-traitance, la documentation de conformité et la gestion des demandes d’exercice de droits. La CNIL insiste sur le fait que la qualification dépend d’une analyse concrète du degré de contrôle du fournisseur, des finalités poursuivies et des moyens essentiels du traitement.\u003C/p>\n\u003Cp>Pour les DPO, le point pratique est clair : les traitements d’amélioration du service ou de sécurité globale opérés par le fournisseur ne doivent pas être automatiquement rangés dans la sous-traitance. Ils peuvent, selon les cas, relever d’une responsabilité propre du fournisseur.\u003C/p>\n\u003Ch2 id=\"cyber-ue-nis2-adoption-de-modeles-communs-de-notification-dincidents\">[Cyber-UE] NIS2 : adoption de modèles communs de notification d’incidents\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 26 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/news/nis2-cooperation-group-adopts-common-templates-incident-reporting\" rel=\"nofollow\">Commission européenne - NIS2 Cooperation Group adopts common templates for incident reporting\u003C/a>\u003C/p>\n\u003Cp>Le groupe de coopération NIS2, réunissant les États membres, la Commission européenne et l’ENISA, a adopté des modèles communs de notification d’incidents de cybersécurité. L’adoption est intervenue lors de la \u003Cstrong>39e réunion plénière à Chypre\u003C/strong>.\u003C/p>\n\u003Cp>Ces modèles ont pour objectif d’harmoniser les champs de notification dans l’Union européenne et de réduire la charge administrative des entités essentielles et importantes opérant dans plusieurs États membres. La Commission indique qu’elle prévoit d’adopter ces modèles par un \u003Cstrong>acte d’exécution\u003C/strong>, ce qui les rendrait obligatoires pour l’ensemble des États membres.\u003C/p>\n\u003Cp>Pour les DPO et juristes conformité, l’intérêt est immédiat : un incident peut déclencher simultanément une notification NIS2 auprès du CSIRT ou de l’autorité compétente, et une notification RGPD auprès de l’autorité de protection des données lorsque des données personnelles sont concernées. Les procédures internes de gestion d’incident doivent donc articuler les délais NIS2, notamment l’alerte précoce à 24 heures et la notification à 72 heures, avec l’article 33 du RGPD.\u003C/p>\n\u003Ch2 id=\"cyber-uk-lico-publie-cinq-mesures-contre-les-menaces-cyber-renforcees-par-lia\">[Cyber- UK] L’ICO publie cinq mesures contre les menaces cyber renforcées par l’IA\u003C/h2>\n\u003Cp>\u003Cstrong>Date\u003C/strong>: 14 mai 2026\u003Cbr />\n\u003Cstrong>Source\u003C/strong>: \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2026/05/five-steps-to-protect-your-organisation-from-ai-powered-cyber-threats/\" rel=\"nofollow\">ICO - Five steps to protect your organisation from AI-powered cyber threats\u003C/a>\u003C/p>\n\u003Cp>L’ICO a publié des recommandations pratiques pour aider les organisations à faire face aux cybermenaces amplifiées par l’IA, notamment le phishing généré par IA, l’automatisation de la recherche de vulnérabilités, la compromission d’identifiants et le data poisoning.\u003C/p>\n\u003Cp>Le régulateur rappelle que les obligations du UK GDPR imposent des mesures techniques et organisationnelles appropriées pour protéger les données personnelles. Il souligne aussi l’importance d’une DPIA et de garde-fous lorsque des outils IA traitent des données à risque élevé.\u003C/p>\n\u003Cp>Cette publication est utile pour relier les programmes IA governance et cyber compliance. Les DPO devraient s’assurer que les risques propres aux systèmes IA, y compris les attaques sur les modèles, les données d’entraînement ou les sorties, sont intégrés dans les analyses de risques et la documentation de sécurité.\u003C/p>\n","Dastra Insights Privacy & IA : que s'est-il passé en mai ?","Une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA",2629,15,"Dastra Insights: que s'est-il passé en mai ?",0,null,"fr","dastra-insights-que-sest-il-passe-en-mai-privacy-ia",false,"Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2026-06-01T13:41:00","2026-06-01T13:41:39.4368851","2026-06-02T13:38:00.8568361",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[],"https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-original.webp",[50,51,52,53,54,55,56],"https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-1000.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-1500.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-800.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-600.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-300.webp","https://static.dastra.eu/content/a8bfac8d-a2ec-48d1-87ed-157ce6634218/dastractu-1000-300-100.webp",60071,{"items":59,"total":146,"size":83,"page":83},[60],{"title":61,"nbDownloads":62,"excerpt":63,"lang":14,"url":64,"intro":65,"featured":4,"state":17,"author":66,"authorId":67,"datePublication":71,"dateCreation":72,"dateUpdate":73,"mainCategory":74,"categories":81,"metaDatas":131,"imageUrl":136,"imageThumbUrls":137,"id":145},"AI Act : Déployer un AI Management System (AIMS) en 6 étapes",61,"Méthode opérationnelle pour structurer la gouvernance IA et répondre efficacement aux exigences de l’AI Act","ai-act-deployer-un-ai-management-system-aims-en-6-etapes","L’intelligence artificielle entre dans une nouvelle ère : celle de la gouvernance. Avec l’AI Act (UE 2024/1689), les organisations doivent désormais structurer et démontrer la conformité de leurs systèmes d’IA dans un cadre exigeant et évolutif.\n\nFace à la complexité réglementaire et à la multiplication des usages, beaucoup peinent à passer à l’opérationnel. Les initiatives restent souvent dispersées, générant des risques juridiques, opérationnels et réputationnels.\n\nL’AI Management System (AIMS) apporte une réponse structurée. Ce guide propose une méthode en 6 étapes pour déployer une gouvernance IA efficace, alignée avec les exigences de l’AI Act.",{"id":67,"displayName":68,"avatarUrl":69,"bio":13,"blogUrl":13,"color":13,"userId":67,"creationDate":70},38,"Paul-Emmanuel Bidault","https://static.dastra.eu/tenant-27/avatar/38/paul-emmanuel-bidault-150.jpg","2019-12-03T19:09:28","2026-03-30T20:17:00","2026-03-30T20:17:09.7405659","2026-04-20T12:08:34.6382717",{"id":75,"name":76,"description":13,"url":77,"color":78,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":79,"translations":80},70,"Livre blanc","white-papers","#1795d3",3,[],[82,90,95,110,112,118],{"id":83,"name":84,"description":85,"url":86,"color":87,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":83,"translations":88},1,"Actualités & veille","Toutes les dernières actualités sur la conformité GDPR dans l'application.","watch","#6c1414",[89],{"lang":14,"name":84,"description":85},{"id":27,"name":28,"description":34,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":91},[92,93,94],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},{"id":96,"name":97,"description":98,"url":99,"color":100,"parentId":27,"count":13,"imageUrl":13,"parent":13,"order":101,"translations":102},69,"Expertise","Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.","indepth","#000000",5,[103,104,107],{"lang":14,"name":97,"description":98},{"lang":39,"name":105,"description":106},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":36,"name":108,"description":109},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",{"id":75,"name":76,"description":13,"url":77,"color":78,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":79,"translations":111},[],{"id":113,"name":114,"description":13,"url":115,"color":116,"parentId":83,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":117},155,"AI","ai","#37c71a",[],{"id":119,"name":120,"description":121,"url":115,"color":122,"parentId":96,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":123},213,"Intelligence artificielle","Tout les articles relatifs à l'intelligence artificielle","#5856d6",[124,125,128],{"lang":14,"name":120,"description":121},{"lang":39,"name":126,"description":127},"Künstliche Intelligenz","Alle Artikel zum Thema künstliche Intelligenz",{"lang":36,"name":129,"description":130},"Inteligencia artificial","Todos los artículos sobre el tema de la inteligencia artificial",[132],{"typeMetaDataId":133,"value":134,"id":135},4,"https://static.dastra.eu/backofficefilescontainer/9c636312-c372-468b-9059-72f09b4963e7/Livret AI Act - 6 étapes pour déployer AIMS.pdf",117357,"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-original.png",[138,139,140,141,142,143,144],"https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1000.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-1500.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-800.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-600.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-300.webp","https://static.dastra.eu/content/ba53a3ab-a895-4014-aac4-46d69280b15f/capture-decran-2026-03-31-162726-100.webp",59947,17]