[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$fS0TIyTq5CXMoLEAv9WQOcMtvwcDqhqu8amnmW8DOY5E":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":17,"state":18,"author":19,"authorId":20,"datePublication":25,"dateCreation":26,"dateUpdate":27,"mainCategory":28,"categories":43,"metaDatas":91,"imageUrl":92,"imageThumbUrls":93,"id":101},true,"Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?**DastrActu** vous propose une veille juridique et réglementaire **spécialement pensée pour les DPO, juristes et professionnels de la privacy**.\r\n\r\nChaque mois, nous allons plus loin qu’un simple récapitulatif : Nous sélectionnons une dizaine de décisions, actualités ou prises de position **ayant un impact concret sur vos missions et vos organisations**.\r\n\r\n🎯 **Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données.**\r\n\r\nVoici notre sélection pour **avril 2025** :\r\n\r\n## Il pleut des rapports!\r\n\r\nCe mois d’avril 2025 marque une **vraie effervescence réglementaire** en matière de protection des données : **plusieurs autorités ont publié leurs rapports annuels**, chacun apportant des éclairages précieux sur les priorités, les tendances et les futures évolutions du RGPD et de la gouvernance des données en Europe.\r\n\r\n### 📄 Rapport annuel 2024 de la CNIL (France)\r\n\r\nLa **CNIL** publie son rapport 2024 et fait un double constat : une **augmentation constante des plaintes**, et une **accentuation de ses contrôles** sur plusieurs secteurs sensibles.\r\n\r\n**Faits marquants du rapport** :\r\n\r\n- Hausse notable des sanctions: 331 mesures correctrices ont été prononcées, dont 87 sanctions totalisant plus de 55 millions d’euros d’amendes.\r\n\r\n- 5 629 violations de données personnelles ont été notifiées, marquant une hausse de 20 % par rapport à 2023.\r\n\r\n- Concernant l'IA: publication de 12 fiches pratiques, dont 9 finalisées, pour guider le développement de systèmes d’IA respectueux des données personnelles.\r\n\r\n- 17 772 plaintes reçues, un record, avec une prédominance des thématiques liées aux télécoms, web et réseaux sociaux (49 %), suivies du commerce (19 %) et du travail (13 %).\r\n\r\n🔗 Lire le résumé : [Résumé du rapport annuel 2024 – CNIL](https://www.cnil.fr/fr/rapport-annuel-2024)🔗 Lire le rapport complet : [Rapport annuel 2024 – CNIL](https://www.cnil.fr/sites/cnil/files/2025-04/rapport_annuel_2024.pdf)\r\n\r\n---\r\n\r\n### 📄 Rapport 2024 du Comité européen de la protection des données (CEPD)\r\n\r\nDans son **rapport**, le CEPD met en lumière son action coordonnée au niveau européen pour **garantir l’application uniforme du RGPD**.\r\n\r\n**Principaux enseignements** :\r\n\r\n- **Avis du CEPD (article 64(2) RGPD)** : le comité a adopté huit avis importants, notamment sur les modèles « consentement ou paiement » utilisés par les grandes plateformes en ligne, ou l’entraînement des modèles d’intelligence artificielle avec des données personnelles.\r\n- **Lignes directrices** : Publication de quatre nouvelles lignes directrices, dont le traitement des données basé sur l’intérêt légitime (article 6(1)(f) RGPD), ou les transferts de données vers des autorités de pays tiers (article 48 RGPD).\r\n- **Renforcement de la coopération et de l’application du RGPD:**\r\n  - **Actions coordonnées** : Lancement de la troisième action coordonnée axée sur le droit d’accès aux données, identifiant des disparités dans la manière dont les organisations répondent aux demandes d’accès.\r\n  - **Taskforce ChatGPT** : Création d’un groupe de travail pour examiner les traitements de données liés à ChatGPT, en l’absence d’établissement principal de l’entreprise dans l’UE.\r\n  - **Soutien aux autorités nationales** : Le Pool d’Experts a renforcé les capacités des autorités de protection des données, notamment sur des sujets complexes comme l’IA et les mécanismes de consentement.\r\n\r\n🔗 Lire le résumé : [Executive Summary – Rapport EDPB 2024](https://www.edpb.europa.eu/system/files/2025-04/edpb-ar-2024-executive-summary-en.pdf)🔗 Lire le rapport complet : [Rapport EDPB 2024](https://www.edpb.europa.eu/system/files/2025-04/edpb-annual-report-2024_en.pdf)👩‍🚀 **Petit plus Dastra :** Consultez notre article sur l'avis du CEPD \"[Intérêts légitimes et objectif purement commercial : c'est possible... sous conditions !\"](https://www.dastra.eu/fr/article/interets-legitimes-et-objectif-purement-commercial-cest-possible-sous-conditions/58225)\r\n\r\n---\r\n\r\n### 📄 Rapport 2024 du Contrôleur européen de la protection des données (EDPS)\r\n\r\nLe **Contrôleur européen de la protection des données (EDPS)**, garant de la protection des données au sein des institutions européennes, livre également son **bilan 2024**.\r\n\r\n**Points clés** :\r\n\r\n- Renforcement de son rôle de **contrôle interne** sur les institutions et agences européennes notamment en auditant certains systèmes informatiques des institutions européennes, depuis les sites web jusqu’aux systèmes d’information à grande échelle (ex: systèmes d’information Schengen et visas)\r\n\r\n- **Attention accrue** portée à l'usage de l'IA dans les services publics européens et création de réseau de correspondants IA pour les IUE dans le cadre de la législation sur l’IA.\r\n\r\n- **Enquêtes sur les violations présumées de la législation en matière de protection des données par des institutions européennes** (ex: utilisation par la Commission européenne d’outils Microsoft)\r\n\r\n- Conseils au législateur de l'UE sur les réglementations à venir ayant un impact direct sur la vie privée et la protection des données des personnes.\r\n\r\n🔗 Lire l'executive summary : [Executive Summary – Rapport EDPS 2024µ](https://www.edps.europa.eu/system/files/2025-04/2024-EDPS_Executive-Summary_FR.pdf)🔗 Lire le rapport complet : [Rapport EDPS 2024](https://www.edpb.europa.eu/system/files/2025-04/edpb-annual-report-2024_en.pdf)➔ Avec l'ensemble de ces rapports, une chose est claire : les **contrôles deviennent plus ciblés et coordonnés**. Pour les entreprises, **l'anticipation et la structuration de la conformité** deviennent des impératifs stratégiques.\r\n\r\n## **La CNIL publie sa stratégie européenne et internationale pour 2025-2028**\r\n\r\nLa **CNIL** vient de publier sa **stratégie européenne et internationale** pour la période **2025-2028**. Objectif : **renforcer l'influence de la France** dans les discussions sur la protection des données et mieux anticiper les nouveaux enjeux technologiques globaux.\r\n\r\n**Trois grandes priorités sont mises en avant** :\r\n\r\n- Renforcer l’efficacité de la coopération européenne pour mieux protéger les données personnelles dans le nouvel environnement numérique règlementaire.\r\n\r\n- Promouvoir des standards internationaux ambitieux en matière de protection des données, tout en soutenant l'innovation et les échanges de données.\r\n\r\n- Accroître l'influence européenne et internationale de la CNIL en défendant un modèle équilibré entre innovation technologique et respect des droits fondamentaux.\r\n\r\nLa CNIL souhaite également **mieux accompagner les entreprises françaises** dans l’évolution de leurs obligations internationales, tout en restant vigilante face aux risques liés à l’extraterritorialité du droit.\r\n\r\n🔗 Lire le détail : [Stratégie 2025-2028 – CNIL](https://www.cnil.fr/sites/cnil/files/2025-04/strategie_internationale_2025-2028.pdf)\r\n\r\n## Le CEPD publie ses recommandations sur la Blockchain et la protection des données\r\n\r\nLe **Comité européen de la protection des données (CEPD)** a publié le 8 avril 2025 la version 1.1 de ses **lignes directrices sur le traitement des données via la blockchain** (guidelines 02/2025). Le CEPD rappelle que **l’absence d’autorité centrale ou de possibilité technique ne saurait justifier une dérogation aux obligations du RGPD.**\r\n\r\n**Points clés du document :**\r\n\r\n- **Utiliser la blockchain uniquement si elle est nécessaire et proportionnée** (éviter l’effet “tech for tech”).\r\n\r\n- **Privilégier les blockchains permissionnaires**, mieux gouvernables, notamment en matière d’attribution des responsabilités (responsable, sous-traitant).\r\n\r\n- **Minimisation et anonymisation** : **stocker les données personnelles off-chain** autant que possible, et ne placer on-chain que des identifiants pseudonymes ou des empreintes cryptographiques, et rappelle que le simple pseudonymat n'est pas suffisant pour échapper au RGPD.\r\n\r\n- **Droit à l’effacement** : l'EDPB souligne les défis que pose l'immuabilité des blockchains et encourage l’utilisation de techniques comme l’encryptage avec suppression des clés pour rendre les données inaccessibles.\r\n\r\n- **Responsabilité et documentation** : les organisations doivent **réaliser une analyse d’impact (AIPD/DPIA)** systématique avant tout traitement blockchain impliquant des données personnelles.\r\n\r\n➔ **Un document important** pour toutes les organisations explorant des cas d’usage blockchain, afin d'anticiper les risques RGPD dès la conception, selon une approche **Privacy by Design & by Default**, et **sous condition d’un encadrement technique et organisationnel solide**.\r\n\r\n🔗 Lire les lignes directrices : [Guidelines 2/2025 – Blockchain & GDPR (EDPB)](https://www.edpb.europa.eu/system/files/2025-04/edpb_guidelines_202502_blockchain_en.pdf)\r\n\r\n## Les cinq axes stratégiques du plan d’action européen pour l’IA\r\n\r\nLa Commission européenne a dévoilé un [**plan d’action ambitieux autour de cinq piliers**, ](https://france.representation.ec.europa.eu/informations/intelligence-artificielle-la-commission-propose-un-nouveau-plan-daction-pour-renforcer-son-2025-04-09_fr)destinés à **renforcer la souveraineté technologique de l’UE** et à accélérer le développement d’un écosystème d’innovation robuste en intelligence artificielle.\r\n\r\n#### 1. Déployer une infrastructure européenne d’IA à grande échelle\r\n\r\nL’objectif est de créer un réseau d’**usines d’IA**, dont treize sont déjà en place, et de soutenir la construction de **giga-usines d’IA** équipées d’environ 100 000 puces spécialisées.Le programme **InvestAI** mobilisera jusqu’à **20 milliards d’euros** pour financer cinq installations de ce type.\r\n\r\n#### 2. Accélérer l’accès à des données massives et fiables\r\n\r\nDes **laboratoires de données** seront créés dans les usines d’IA pour collecter, agréger et exploiter des volumes massifs de données de haute qualité.Une **stratégie européenne pour l’union des données** verra le jour en 2025 pour stimuler la circulation des données dans un véritable marché intérieur numérique.\r\n\r\n#### 3. Stimuler l’adoption de l’IA dans les secteurs stratégiques\r\n\r\nLa stratégie **\"Appliquer l’IA\"** visera à **accroître l’adoption concrète de l’IA** dans les secteurs public et privé. Les **usines d’IA** et les **pôles européens d’innovation numérique** serviront de leviers pour déployer des solutions d’IA adaptées aux besoins sectoriels.\r\n\r\n#### 4. Former et attirer les talents en IA\r\n\r\nLa Commission entend renforcer les compétences à travers :\r\n\r\n- le **réservoir européen de talents**,\r\n\r\n- l’action **MSCA Choose Europe**,\r\n\r\n- la future **AI Skills Academy**,\r\n\r\n- des **programmes de bourses spécialisés en IA**.\r\n\r\nDes initiatives d’enseignement et de formation sur l’IA et l’IA générative seront développées à tous les niveaux.\r\n\r\n#### 5. Offrir un cadre réglementaire clair et simplifié\r\n\r\nL’**AI Act**, entré en vigueur le **1er août 2024**, est conçu pour **instaurer la confiance**, sécuriser les investissements et **garantir un usage responsable de l’IA**. Un **guichet d’assistance réglementaire** sera mis en place pour accompagner les entreprises dans leur mise en conformité, afin de renforcer la confiance et la sécurité juridique.\r\n\r\n#### Prochaines étapes :\r\n\r\nDeux consultations publiques sont ouvertes à toutes les parties intéressées jusqu’au **4 juin 2025**, portant sur :\r\n\r\n- l'[**acte législatif sur le développement de l'informatique en nuage et de l'IA**](https://digital-strategy.ec.europa.eu/en/cloud-and-ai-development-public-consultation)\r\n\r\n- [la stratégie **\"Appliquer l’IA\"**, ](https://digital-strategy.ec.europa.eu/en/applyai-strategy-public-consultation)afin d’identifier les priorités des parties prenantes, les obstacles à surmonter pour favoriser l’adoption de l’IA, ainsi que la pertinence des orientations stratégiques proposées — y compris les mesures complémentaires nécessaires pour assurer une mise en œuvre fluide et efficace du règlement sur l'IA.\r\n\r\n**Une troisième consultation** concernant la stratégie pour une union européenne des données sera lancée en mai.\r\n\r\n## **Articulation RGPD et ePrivacy : ce que dit l’avocat général dans l’affaire Inteligo**\r\n\r\nLe 25 avril 2025, l'avocat général de la Cour de justice de l'Union européenne (CJUE) a rendu ses conclusions dans l'affaire *Inteligo Media c. ANSPDCP*, apportant des précisions importantes sur l'articulation entre le RGPD et la directive ePrivacy.\r\n\r\n### Contexte de l'affaire\r\n\r\nInteligo Media, une société roumaine, avait été sanctionnée par l'autorité de protection des données roumaine (ANSPDCP) pour avoir envoyé des newsletters à des destinataires sans leur consentement préalable, en violation de l'article 13(2) de la directive ePrivacy. Inteligo Media contestait cette sanction, arguant que le traitement de données était fondé sur l'article 6 du RGPD, relatif à la licéité du traitement.\r\n\r\n### **Problème juridique**\r\n\r\nLa question porte sur la qualification de la newsletter en tant que **communication non sollicités à fin de prospection directe** au sens de l’article 13(2) de la directive 2002/58/CE. Cette qualification revêt une importance déterminante, puisqu’elle conditionne l’obligation ou non d’obtenir le **consentement préalable et explicite des destinataires**.\r\n\r\n### Position de l'avocat général\r\n\r\nBien que présentée sous une forme informative gratuite — résumés d’actualités juridiques accompagnés de liens vers le site —, la newsletter **poursuit un objectif commercial clair** : **encourager les utilisateurs à consommer leur quota gratuit d’articles**, afin de les inciter à souscrire à une offre payante.\r\n\r\nCe qui est déterminant, selon l’avocat général, c’est le **caractère individualisé de l’envoi** (adresse e-mail personnelle), combiné à la **finalité économique** de fidélisation. Cette stratégie, mêlant contenu et intention commerciale, **suffit à requalifier la newsletter en communication de prospection directe**, soumise à l’exigence de **consentement préalable**.\r\n\r\nÉtant donné que les pratiques d’Inteligo remplissaient les conditions de l’exception prévue à l’article 13(2) — à savoir que les coordonnées ont été obtenues dans un contexte de vente et que la prospection portait sur des services analogues (étant l’offre complète de contenus payants) — l’avocat général a souligné que la directive ePrivacy régit la situation, à l’exclusion de toute exigence supplémentaire issue du RGPD.\r\n\r\n### Conséquences\r\n\r\nUne newsletter gratuite peut être assimilée à une vente au sens de la directive ePrivacy dès lors qu’elle s’inscrit dans une stratégie commerciale plus large visant à vendre des services additionnels. **Ces messages promotionnels peuvent donc être envoyés sur la base d’un mécanisme d’opt-out — sous certaines conditions — plutôt que sur celui d’un consentement préalable (opt-in).**\r\n\r\nBien que les **conclusions de l'avocat général ne lient pas la CJUE,** elles influencent généralement ses décisions. Si la Cour suit cette opinion, cela renforcera l'autonomie de la directive ePrivacy par rapport au RGPD dans le domaine des communications électroniques.\r\n\r\n🔗Lire les conclusions de l'avocat général [ici](https://curia.europa.eu/juris/document/document.jsf?text=&docid=297249&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1).\r\n\r\n## Sanction espagnole de 500 000 € pour l’hôpital MARINA SALUD : sous-traitance non conforme au RGPD\r\n\r\nL’**autorité espagnole de protection des données (AEPD)** a infligé une amende de **500 000 euros** à l’**hôpital MARINA SALUD, S.A.**, pour manquement aux obligations encadrant la sous-traitance de données personnelles.\r\n\r\n### Rappel des faits\r\n\r\n- Le ministère de la Santé et de la Santé publique de Valence (responsable du traitement) a fait appel, depuis 2009, aux services de Marina Salud (sous-traitant), une organisation de santé assurant des services de santé publique dans le cadre d’un contrat.\r\n- Le 19 janvier 2023, le responsable du traitement a effectué une inspection sur les locaux du sous-traitant. Lors de cette inspection, il a été révélé que le sous-traitant utilisait un logiciel tiers de système d'information de santé, et a refusé de fournir au responsable du traitement le contrat en vigueur entre lui-même et ce tiers.\r\n- Deux autres sous-traitants ultérieurs non autorisés avaient également été engagés\r\n\r\n### Les manquements constatés\r\n\r\nL’AEPD a relevé une **violation de l’article 28(2) du RGPD** concernant la sous-traitance :\r\n\r\n- **Sous-traitance non autorisée** :  Bien qu’une convention de traitement datant de 2009 ait prévu une autorisation générale de sous-traitance, MARINA SALUD a, après l’entrée en vigueur du RGPD en 2018, signé plusieurs contrats de sous-traitance (notamment pour les systèmes d'information hospitaliers et de laboratoire) **sans en informer préalablement** le responsable de traitement.\r\n\r\n- **Non-respect du droit d'opposition** :  Selon l’article 28(2) du RGPD, même en cas d’autorisation générale, le sous-traitant doit **informer le responsable de tout changement prévu**, afin de lui permettre d'exercer son **droit d'opposition** aux nouveaux sous-traitants.\r\n\r\n### Conséquences\r\n\r\nLors de la détermination de l’amende, l’AEPD a considéré la gravité de la violation vu la nature des données traitées (données sensibles de santé), et que le sous-traitant disposait d’un chiffre d'affaires élevé. L’AEPD a infligé une amende de 500 000 €.En sanctionnant MARINA SALUD, l'AEPD rappelle l'importance de **respecter strictement la chaîne contractuelle et d’assurer une transparence totale** dans la gestion des sous-traitants.\r\n\r\n🔗 Décision disponible (en espagnol) : [AEPD](https://www.aepd.es/documento/ps-00127-2024.pdf)👩‍🚀 **Petit plus Dastra :** Consultez notre article [\"Sous-traitance RGPD: ce que change l’avis du CEPD d’octobre 2024\"](https://www.dastra.eu/fr/article/sous-traitance-rgpd-ce-que-change-lavis-du-cepd-doctobre-2024/59025)\r\n\r\n## Marketing illégal : une entreprise britannique sanctionnée à hauteur de 90 000£\r\n\r\nL'**Information Commissioner's Office (ICO)**, l'autorité britannique de protection des données, a infligé, en date du 24 avril, une amende de **90 000 livres sterling** (environ **105 000 euros**) à **AFK Letters Co Ltd (AFK)** pour avoir passé plus de **95 000 appels commerciaux non sollicités**.\r\n\r\n### Les faits reprochés\r\n\r\nAFK Letters est une société spécialisée dans la rédaction de lettres d'indemnisation pour ses clients. L'enquête de l'ICO a mis en lumière plusieurs manquements majeurs :\r\n\r\n- **Absence de consentement valable** :  Entre janvier et septembre 2023, AFK a utilisé des données issues de son propre site web et d'un prestataire tiers pour réaliser 95 277 appels téléphoniques, sans pouvoir démontrer l'existence d'un **consentement spécifique et valide** de la part des personnes contactées, même pour les contacts récents.  De plus, le fournisseur de données tiers d’AFK a recueilli le consentement du public pour passer des appels en utilisant des mentions qui ne citaient pas explicitement le nom d’AFK.\r\n\r\n- **Information insuffisante** :  Le fournisseur de données d'AFK recueillait un consentement générique, sans mentionner explicitement l'entreprise dans les déclarations de consentement. De plus, la **politique de confidentialité** d'AFK évoquait uniquement les communications par e-mail, sans faire référence aux appels téléphoniques.\r\n\r\n### Conséquences\r\n\r\nEn sanctionnant AFK Letters, l’ICO rappelle l'importance :\r\n\r\n- de **collecter un consentement explicite et documenté** avant toute prospection téléphonique,\r\n\r\n- et de **fournir une information claire et exhaustive** aux personnes concernées.\r\n\r\n🔗 Décision disponible (en anglais) : [ICO, AFK Letters Co Ltd](https://ico.org.uk/action-weve-taken/enforcement/2025/04/afk-letters-co-ltd-mpn/)\r\n\r\n## Premières sanctions sous le Digital Markets Act : Apple et Meta lourdement condamnés\r\n\r\nLa **Commission européenne** a prononcé, pour la première fois sous le régime du **Digital Markets Act (DMA)**, des amendes d'un montant cumulé de **700 millions d’euros** : **500 millions d’euros pour Apple** et **200 millions d’euros pour Meta**.\r\n\r\n### Les fondements juridiques\r\n\r\n- **Apple** est sanctionnée pour avoir **limité la liberté des développeurs d’informer les utilisateurs** de l’existence d’offres concurrentes, souvent moins chères, en dehors de l’App Store. Cette pratique est contraire à **l’article 5 du DMA**, qui impose aux \"contrôleurs d’accès\" de ne pas entraver les entreprises utilisatrices dans leur communication commerciale.\r\n\r\n- **Meta** est sanctionnée pour son modèle \"Consentement ou paiement\" proposé aux utilisateurs de **Facebook** et **Instagram**. Les utilisateurs n’avaient initialement le choix qu’entre accepter une publicité fortement personnalisée ou payer un abonnement pour une version sans publicité. Or, le Digital Markets Act (DMA) **impose l’existence d’une troisième option : un service gratuit reposant sur un ciblage publicitaire limité.**\r\n\r\n### Contexte et conséquences\r\n\r\nMalgré le montant élevé des amendes, **Apple et Meta restent peu fragilisés financièrement** : leurs bénéfices annuels dépassent respectivement 82 et 55 milliards d'euros.\r\n\r\nLes deux entreprises disposent désormais de **60 jours pour se mettre en conformité**. En cas de non-respect, elles s'exposent à des sanctions supplémentaires pouvant atteindre **10 % de leur chiffre d'affaires mondial** — voire **20 %** en cas de récidive.\r\n\r\n🔎 **À retenir :**[Cette décision ](https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_1085)inaugure l’application concrète du DMA et traduit la détermination de l’Union européenne à **rétablir une concurrence loyale sur les marchés numériques**, en tentant de rééquilibrer le pouvoir des grandes plateformes.","\u003Cp>Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?\u003Cbr />\r\n\u003Cstrong>DastrActu\u003C/strong> vous propose une veille juridique et réglementaire \u003Cstrong>spécialement pensée pour les DPO, juristes et professionnels de la privacy\u003C/strong>.\u003C/p>\r\n\u003Cp>Chaque mois, nous allons plus loin qu’un simple récapitulatif : Nous sélectionnons une dizaine de décisions, actualités ou prises de position \u003Cstrong>ayant un impact concret sur vos missions et vos organisations\u003C/strong>.\u003C/p>\r\n\u003Cp>🎯 \u003Cstrong>Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données.\u003C/strong>\u003C/p>\r\n\u003Cp>Voici notre sélection pour \u003Cstrong>avril 2025\u003C/strong> :\u003C/p>\r\n\u003Ch2 id=\"il-pleut-des-rapports\">Il pleut des rapports!\u003C/h2>\r\n\u003Cp>Ce mois d’avril 2025 marque une \u003Cstrong>vraie effervescence réglementaire\u003C/strong> en matière de protection des données : \u003Cstrong>plusieurs autorités ont publié leurs rapports annuels\u003C/strong>, chacun apportant des éclairages précieux sur les priorités, les tendances et les futures évolutions du RGPD et de la gouvernance des données en Europe.\u003C/p>\r\n\u003Ch3 id=\"rapport-annuel-2024-de-la-cnil-france\">📄 Rapport annuel 2024 de la CNIL (France)\u003C/h3>\r\n\u003Cp>La \u003Cstrong>CNIL\u003C/strong> publie son rapport 2024 et fait un double constat : une \u003Cstrong>augmentation constante des plaintes\u003C/strong>, et une \u003Cstrong>accentuation de ses contrôles\u003C/strong> sur plusieurs secteurs sensibles.\u003C/p>\r\n\u003Cp>\u003Cstrong>Faits marquants du rapport\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Hausse notable des sanctions: 331 mesures correctrices ont été prononcées, dont 87 sanctions totalisant plus de 55 millions d’euros d’amendes.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>5 629 violations de données personnelles ont été notifiées, marquant une hausse de 20 % par rapport à 2023.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Concernant l'IA: publication de 12 fiches pratiques, dont 9 finalisées, pour guider le développement de systèmes d’IA respectueux des données personnelles.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>17 772 plaintes reçues, un record, avec une prédominance des thématiques liées aux télécoms, web et réseaux sociaux (49 %), suivies du commerce (19 %) et du travail (13 %).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>🔗 Lire le résumé : \u003Ca href=\"https://www.cnil.fr/fr/rapport-annuel-2024\" rel=\"nofollow\">Résumé du rapport annuel 2024 – CNIL\u003C/a>\u003Cbr />\r\n🔗 Lire le rapport complet : \u003Ca href=\"https://www.cnil.fr/sites/cnil/files/2025-04/rapport_annuel_2024.pdf\" rel=\"nofollow\">Rapport annuel 2024 – CNIL\u003C/a>\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"rapport-2024-du-comite-europeen-de-la-protection-des-donnees-cepd\">📄 Rapport 2024 du Comité européen de la protection des données (CEPD)\u003C/h3>\r\n\u003Cp>Dans son \u003Cstrong>rapport\u003C/strong>, le CEPD met en lumière son action coordonnée au niveau européen pour \u003Cstrong>garantir l’application uniforme du RGPD\u003C/strong>.\u003C/p>\r\n\u003Cp>\u003Cstrong>Principaux enseignements\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Avis du CEPD (article 64(2) RGPD)\u003C/strong> : le comité a adopté huit avis importants, notamment sur les modèles « consentement ou paiement » utilisés par les grandes plateformes en ligne, ou l’entraînement des modèles d’intelligence artificielle avec des données personnelles.\u003C/li>\r\n\u003Cli>\u003Cstrong>Lignes directrices\u003C/strong> : Publication de quatre nouvelles lignes directrices, dont le traitement des données basé sur l’intérêt légitime (article 6(1)(f) RGPD), ou les transferts de données vers des autorités de pays tiers (article 48 RGPD).\u003C/li>\r\n\u003Cli>\u003Cstrong>Renforcement de la coopération et de l’application du RGPD:\u003C/strong>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>Actions coordonnées\u003C/strong> : Lancement de la troisième action coordonnée axée sur le droit d’accès aux données, identifiant des disparités dans la manière dont les organisations répondent aux demandes d’accès.\u003C/li>\r\n\u003Cli>\u003Cstrong>Taskforce ChatGPT\u003C/strong> : Création d’un groupe de travail pour examiner les traitements de données liés à ChatGPT, en l’absence d’établissement principal de l’entreprise dans l’UE.\u003C/li>\r\n\u003Cli>\u003Cstrong>Soutien aux autorités nationales\u003C/strong> : Le Pool d’Experts a renforcé les capacités des autorités de protection des données, notamment sur des sujets complexes comme l’IA et les mécanismes de consentement.\u003C/li>\r\n\u003C/ul>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>🔗 Lire le résumé : \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-04/edpb-ar-2024-executive-summary-en.pdf\" rel=\"nofollow\">Executive Summary – Rapport EDPB 2024\u003C/a>\u003Cbr />\r\n🔗 Lire le rapport complet : \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-04/edpb-annual-report-2024_en.pdf\" rel=\"nofollow\">Rapport EDPB 2024\u003C/a>\u003Cbr />\r\n\u003Cbr />\r\n👩‍🚀 \u003Cstrong>Petit plus Dastra :\u003C/strong> Consultez notre article sur l'avis du CEPD \"\u003Ca href=\"https://www.dastra.eu/fr/article/interets-legitimes-et-objectif-purement-commercial-cest-possible-sous-conditions/58225\">Intérêts légitimes et objectif purement commercial : c'est possible... sous conditions !\"\u003C/a>\u003C/p>\r\n\u003Chr />\r\n\u003Ch3 id=\"rapport-2024-du-controleur-europeen-de-la-protection-des-donnees-edps\">📄 Rapport 2024 du Contrôleur européen de la protection des données (EDPS)\u003C/h3>\r\n\u003Cp>Le \u003Cstrong>Contrôleur européen de la protection des données (EDPS)\u003C/strong>, garant de la protection des données au sein des institutions européennes, livre également son \u003Cstrong>bilan 2024\u003C/strong>.\u003C/p>\r\n\u003Cp>\u003Cstrong>Points clés\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Renforcement de son rôle de \u003Cstrong>contrôle interne\u003C/strong> sur les institutions et agences européennes notamment en auditant certains systèmes informatiques des institutions européennes, depuis les sites web jusqu’aux systèmes d’information à grande échelle (ex: systèmes d’information Schengen et visas)\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Attention accrue\u003C/strong> portée à l'usage de l'IA dans les services publics européens et création de réseau de correspondants IA pour les IUE dans le cadre de la législation sur l’IA.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Enquêtes sur les violations présumées de la législation en matière de protection des données par des institutions européennes\u003C/strong> (ex: utilisation par la Commission européenne d’outils Microsoft)\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Conseils au législateur de l'UE sur les réglementations à venir ayant un impact direct sur la vie privée et la protection des données des personnes.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>🔗 Lire l'executive summary : \u003Ca href=\"https://www.edps.europa.eu/system/files/2025-04/2024-EDPS_Executive-Summary_FR.pdf\" rel=\"nofollow\">Executive Summary – Rapport EDPS 2024µ\u003C/a>\u003Cbr />\r\n🔗 Lire le rapport complet : \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-04/edpb-annual-report-2024_en.pdf\" rel=\"nofollow\">Rapport EDPS 2024\u003C/a>\u003Cbr />\r\n\u003Cbr />\r\n➔ Avec l'ensemble de ces rapports, une chose est claire : les \u003Cstrong>contrôles deviennent plus ciblés et coordonnés\u003C/strong>. Pour les entreprises, \u003Cstrong>l'anticipation et la structuration de la conformité\u003C/strong> deviennent des impératifs stratégiques.\u003C/p>\r\n\u003Ch2 id=\"la-cnil-publie-sa-strategie-europeenne-et-internationale-pour-2025-2028\">\u003Cstrong>La CNIL publie sa stratégie européenne et internationale pour 2025-2028\u003C/strong>\u003C/h2>\r\n\u003Cp>La \u003Cstrong>CNIL\u003C/strong> vient de publier sa \u003Cstrong>stratégie européenne et internationale\u003C/strong> pour la période \u003Cstrong>2025-2028\u003C/strong>. Objectif : \u003Cstrong>renforcer l'influence de la France\u003C/strong> dans les discussions sur la protection des données et mieux anticiper les nouveaux enjeux technologiques globaux.\u003C/p>\r\n\u003Cp>\u003Cstrong>Trois grandes priorités sont mises en avant\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Renforcer l’efficacité de la coopération européenne pour mieux protéger les données personnelles dans le nouvel environnement numérique règlementaire.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Promouvoir des standards internationaux ambitieux en matière de protection des données, tout en soutenant l'innovation et les échanges de données.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Accroître l'influence européenne et internationale de la CNIL en défendant un modèle équilibré entre innovation technologique et respect des droits fondamentaux.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>La CNIL souhaite également \u003Cstrong>mieux accompagner les entreprises françaises\u003C/strong> dans l’évolution de leurs obligations internationales, tout en restant vigilante face aux risques liés à l’extraterritorialité du droit.\u003C/p>\r\n\u003Cp>🔗 Lire le détail : \u003Ca href=\"https://www.cnil.fr/sites/cnil/files/2025-04/strategie_internationale_2025-2028.pdf\" rel=\"nofollow\">Stratégie 2025-2028 – CNIL\u003C/a>\u003C/p>\r\n\u003Ch2 id=\"le-cepd-publie-ses-recommandations-sur-la-blockchain-et-la-protection-des-donnees\">Le CEPD publie ses recommandations sur la Blockchain et la protection des données\u003C/h2>\r\n\u003Cp>Le \u003Cstrong>Comité européen de la protection des données (CEPD)\u003C/strong> a publié le 8 avril 2025 la version 1.1 de ses \u003Cstrong>lignes directrices sur le traitement des données via la blockchain\u003C/strong> (guidelines 02/2025). \u003Cbr />\r\n\u003Cbr />\r\nLe CEPD rappelle que \u003Cstrong>l’absence d’autorité centrale ou de possibilité technique ne saurait justifier une dérogation aux obligations du RGPD.\u003C/strong>\u003C/p>\r\n\u003Cp>\u003Cstrong>Points clés du document :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Utiliser la blockchain uniquement si elle est nécessaire et proportionnée\u003C/strong> (éviter l’effet “tech for tech”).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Privilégier les blockchains permissionnaires\u003C/strong>, mieux gouvernables, notamment en matière d’attribution des responsabilités (responsable, sous-traitant).\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Minimisation et anonymisation\u003C/strong> : \u003Cstrong>stocker les données personnelles off-chain\u003C/strong> autant que possible, et ne placer on-chain que des identifiants pseudonymes ou des empreintes cryptographiques, et rappelle que le simple pseudonymat n'est pas suffisant pour échapper au RGPD.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Droit à l’effacement\u003C/strong> : l'EDPB souligne les défis que pose l'immuabilité des blockchains et encourage l’utilisation de techniques comme l’encryptage avec suppression des clés pour rendre les données inaccessibles.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Responsabilité et documentation\u003C/strong> : les organisations doivent \u003Cstrong>réaliser une analyse d’impact (AIPD/DPIA)\u003C/strong> systématique avant tout traitement blockchain impliquant des données personnelles.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>➔ \u003Cstrong>Un document important\u003C/strong> pour toutes les organisations explorant des cas d’usage blockchain, afin d'anticiper les risques RGPD dès la conception, selon une approche \u003Cstrong>Privacy by Design & by Default\u003C/strong>, et \u003Cstrong>sous condition d’un encadrement technique et organisationnel solide\u003C/strong>.\u003C/p>\r\n\u003Cp>🔗 Lire les lignes directrices : \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-04/edpb_guidelines_202502_blockchain_en.pdf\" rel=\"nofollow\">Guidelines 2/2025 – Blockchain & GDPR (EDPB)\u003C/a>\u003C/p>\r\n\u003Ch2 id=\"les-cinq-axes-strategiques-du-plan-daction-europeen-pour-lia\">Les cinq axes stratégiques du plan d’action européen pour l’IA\u003C/h2>\r\n\u003Cp>La Commission européenne a dévoilé un \u003Ca href=\"https://france.representation.ec.europa.eu/informations/intelligence-artificielle-la-commission-propose-un-nouveau-plan-daction-pour-renforcer-son-2025-04-09_fr\" rel=\"nofollow\">\u003Cstrong>plan d’action ambitieux autour de cinq piliers\u003C/strong>, \u003C/a>destinés à \u003Cstrong>renforcer la souveraineté technologique de l’UE\u003C/strong> et à accélérer le développement d’un écosystème d’innovation robuste en intelligence artificielle.\u003C/p>\r\n\u003Ch4 id=\"deployer-une-infrastructure-europeenne-dia-a-grande-echelle\">1. Déployer une infrastructure européenne d’IA à grande échelle\u003C/h4>\r\n\u003Cp>L’objectif est de créer un réseau d’\u003Cstrong>usines d’IA\u003C/strong>, dont treize sont déjà en place, et de soutenir la construction de \u003Cstrong>giga-usines d’IA\u003C/strong> équipées d’environ 100 000 puces spécialisées.\u003Cbr />\r\nLe programme \u003Cstrong>InvestAI\u003C/strong> mobilisera jusqu’à \u003Cstrong>20 milliards d’euros\u003C/strong> pour financer cinq installations de ce type.\u003C/p>\r\n\u003Ch4 id=\"accelerer-lacces-a-des-donnees-massives-et-fiables\">2. Accélérer l’accès à des données massives et fiables\u003C/h4>\r\n\u003Cp>Des \u003Cstrong>laboratoires de données\u003C/strong> seront créés dans les usines d’IA pour collecter, agréger et exploiter des volumes massifs de données de haute qualité.\u003Cbr />\r\nUne \u003Cstrong>stratégie européenne pour l’union des données\u003C/strong> verra le jour en 2025 pour stimuler la circulation des données dans un véritable marché intérieur numérique.\u003C/p>\r\n\u003Ch4 id=\"stimuler-ladoption-de-lia-dans-les-secteurs-strategiques\">3. Stimuler l’adoption de l’IA dans les secteurs stratégiques\u003C/h4>\r\n\u003Cp>La stratégie \u003Cstrong>\"Appliquer l’IA\"\u003C/strong> visera à \u003Cstrong>accroître l’adoption concrète de l’IA\u003C/strong> dans les secteurs public et privé. Les \u003Cstrong>usines d’IA\u003C/strong> et les \u003Cstrong>pôles européens d’innovation numérique\u003C/strong> serviront de leviers pour déployer des solutions d’IA adaptées aux besoins sectoriels.\u003C/p>\r\n\u003Ch4 id=\"former-et-attirer-les-talents-en-ia\">4. Former et attirer les talents en IA\u003C/h4>\r\n\u003Cp>La Commission entend renforcer les compétences à travers :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>le \u003Cstrong>réservoir européen de talents\u003C/strong>,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>l’action \u003Cstrong>MSCA Choose Europe\u003C/strong>,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>la future \u003Cstrong>AI Skills Academy\u003C/strong>,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>des \u003Cstrong>programmes de bourses spécialisés en IA\u003C/strong>.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Des initiatives d’enseignement et de formation sur l’IA et l’IA générative seront développées à tous les niveaux.\u003C/p>\r\n\u003Ch4 id=\"offrir-un-cadre-reglementaire-clair-et-simplifie\">5. Offrir un cadre réglementaire clair et simplifié\u003C/h4>\r\n\u003Cp>L’\u003Cstrong>AI Act\u003C/strong>, entré en vigueur le \u003Cstrong>1er août 2024\u003C/strong>, est conçu pour \u003Cstrong>instaurer la confiance\u003C/strong>, sécuriser les investissements et \u003Cstrong>garantir un usage responsable de l’IA\u003C/strong>. Un \u003Cstrong>guichet d’assistance réglementaire\u003C/strong> sera mis en place pour accompagner les entreprises dans leur mise en conformité, afin de renforcer la confiance et la sécurité juridique.\u003C/p>\r\n\u003Ch4 id=\"prochaines-etapes\">Prochaines étapes :\u003C/h4>\r\n\u003Cp>Deux consultations publiques sont ouvertes à toutes les parties intéressées jusqu’au \u003Cstrong>4 juin 2025\u003C/strong>, portant sur :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>l'\u003Ca href=\"https://digital-strategy.ec.europa.eu/en/cloud-and-ai-development-public-consultation\" rel=\"nofollow\">\u003Cstrong>acte législatif sur le développement de l'informatique en nuage et de l'IA\u003C/strong>\u003C/a>\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Ca href=\"https://digital-strategy.ec.europa.eu/en/applyai-strategy-public-consultation\" rel=\"nofollow\">la stratégie \u003Cstrong>\"Appliquer l’IA\"\u003C/strong>, \u003C/a>afin d’identifier les priorités des parties prenantes, les obstacles à surmonter pour favoriser l’adoption de l’IA, ainsi que la pertinence des orientations stratégiques proposées — y compris les mesures complémentaires nécessaires pour assurer une mise en œuvre fluide et efficace du règlement sur l'IA.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>\u003Cstrong>Une troisième consultation\u003C/strong> concernant la stratégie pour une union européenne des données sera lancée en mai.\u003C/p>\r\n\u003Ch2 id=\"articulation-rgpd-et-eprivacy-ce-que-dit-lavocat-general-dans-laffaire-inteligo\">\u003Cstrong>Articulation RGPD et ePrivacy : ce que dit l’avocat général dans l’affaire Inteligo\u003C/strong>\u003C/h2>\r\n\u003Cp>Le 25 avril 2025, l'avocat général de la Cour de justice de l'Union européenne (CJUE) a rendu ses conclusions dans l'affaire \u003Cem>Inteligo Media c. ANSPDCP\u003C/em>, apportant des précisions importantes sur l'articulation entre le RGPD et la directive ePrivacy.\u003C/p>\r\n\u003Ch3 id=\"contexte-de-laffaire\">Contexte de l'affaire\u003C/h3>\r\n\u003Cp>Inteligo Media, une société roumaine, avait été sanctionnée par l'autorité de protection des données roumaine (ANSPDCP) pour avoir envoyé des newsletters à des destinataires sans leur consentement préalable, en violation de l'article 13(2) de la directive ePrivacy. Inteligo Media contestait cette sanction, arguant que le traitement de données était fondé sur l'article 6 du RGPD, relatif à la licéité du traitement.\u003C/p>\r\n\u003Ch3 id=\"probleme-juridique\">\u003Cstrong>Problème juridique\u003C/strong>\u003C/h3>\r\n\u003Cp>La question porte sur la qualification de la newsletter en tant que \u003Cstrong>communication non sollicités à fin de prospection directe\u003C/strong> au sens de l’article 13(2) de la directive 2002/58/CE. Cette qualification revêt une importance déterminante, puisqu’elle conditionne l’obligation ou non d’obtenir le \u003Cstrong>consentement préalable et explicite des destinataires\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"position-de-lavocat-general\">Position de l'avocat général\u003C/h3>\r\n\u003Cp>Bien que présentée sous une forme informative gratuite — résumés d’actualités juridiques accompagnés de liens vers le site —, la newsletter \u003Cstrong>poursuit un objectif commercial clair\u003C/strong> : \u003Cstrong>encourager les utilisateurs à consommer leur quota gratuit d’articles\u003C/strong>, afin de les inciter à souscrire à une offre payante.\u003C/p>\r\n\u003Cp>Ce qui est déterminant, selon l’avocat général, c’est le \u003Cstrong>caractère individualisé de l’envoi\u003C/strong> (adresse e-mail personnelle), combiné à la \u003Cstrong>finalité économique\u003C/strong> de fidélisation. Cette stratégie, mêlant contenu et intention commerciale, \u003Cstrong>suffit à requalifier la newsletter en communication de prospection directe\u003C/strong>, soumise à l’exigence de \u003Cstrong>consentement préalable\u003C/strong>.\u003C/p>\r\n\u003Cp>Étant donné que les pratiques d’Inteligo remplissaient les conditions de l’exception prévue à l’article 13(2) — à savoir que les coordonnées ont été obtenues dans un contexte de vente et que la prospection portait sur des services analogues (étant l’offre complète de contenus payants) — l’avocat général a souligné que la directive ePrivacy régit la situation, à l’exclusion de toute exigence supplémentaire issue du RGPD.\u003C/p>\r\n\u003Ch3 id=\"consequences\">Conséquences\u003C/h3>\r\n\u003Cp>Une newsletter gratuite peut être assimilée à une vente au sens de la directive ePrivacy dès lors qu’elle s’inscrit dans une stratégie commerciale plus large visant à vendre des services additionnels. \u003Cstrong>Ces messages promotionnels peuvent donc être envoyés sur la base d’un mécanisme d’opt-out — sous certaines conditions — plutôt que sur celui d’un consentement préalable (opt-in).\u003C/strong>\u003C/p>\r\n\u003Cp>Bien que les \u003Cstrong>conclusions de l'avocat général ne lient pas la CJUE,\u003C/strong> elles influencent généralement ses décisions. Si la Cour suit cette opinion, cela renforcera l'autonomie de la directive ePrivacy par rapport au RGPD dans le domaine des communications électroniques.\u003C/p>\r\n\u003Cp>🔗Lire les conclusions de l'avocat général \u003Ca href=\"https://curia.europa.eu/juris/document/document.jsf?text=&docid=297249&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1\" rel=\"nofollow\">ici\u003C/a>.\u003C/p>\r\n\u003Ch2 id=\"sanction-espagnole-de-500-000-pour-lhopital-marina-salud-sous-traitance-non-conforme-au-rgpd\">Sanction espagnole de 500 000 € pour l’hôpital MARINA SALUD : sous-traitance non conforme au RGPD\u003C/h2>\r\n\u003Cp>L’\u003Cstrong>autorité espagnole de protection des données (AEPD)\u003C/strong> a infligé une amende de \u003Cstrong>500 000 euros\u003C/strong> à l’\u003Cstrong>hôpital MARINA SALUD, S.A.\u003C/strong>, pour manquement aux obligations encadrant la sous-traitance de données personnelles.\u003C/p>\r\n\u003Ch3 id=\"rappel-des-faits\">Rappel des faits\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>Le ministère de la Santé et de la Santé publique de Valence (responsable du traitement) a fait appel, depuis 2009, aux services de Marina Salud (sous-traitant), une organisation de santé assurant des services de santé publique dans le cadre d’un contrat.\u003C/li>\r\n\u003Cli>Le 19 janvier 2023, le responsable du traitement a effectué une inspection sur les locaux du sous-traitant. Lors de cette inspection, il a été révélé que le sous-traitant utilisait un logiciel tiers de système d'information de santé, et a refusé de fournir au responsable du traitement le contrat en vigueur entre lui-même et ce tiers.\u003C/li>\r\n\u003Cli>Deux autres sous-traitants ultérieurs non autorisés avaient également été engagés\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"les-manquements-constates\">Les manquements constatés\u003C/h3>\r\n\u003Cp>L’AEPD a relevé une \u003Cstrong>violation de l’article 28(2) du RGPD\u003C/strong> concernant la sous-traitance :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Sous-traitance non autorisée\u003C/strong> :\u003Cbr />\r\nBien qu’une convention de traitement datant de 2009 ait prévu une autorisation générale de sous-traitance, MARINA SALUD a, après l’entrée en vigueur du RGPD en 2018, signé plusieurs contrats de sous-traitance (notamment pour les systèmes d'information hospitaliers et de laboratoire) \u003Cstrong>sans en informer préalablement\u003C/strong> le responsable de traitement.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Non-respect du droit d'opposition\u003C/strong> :\u003Cbr />\r\nSelon l’article 28(2) du RGPD, même en cas d’autorisation générale, le sous-traitant doit \u003Cstrong>informer le responsable de tout changement prévu\u003C/strong>, afin de lui permettre d'exercer son \u003Cstrong>droit d'opposition\u003C/strong> aux nouveaux sous-traitants.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"consequences-1\">Conséquences\u003C/h3>\r\n\u003Cp>Lors de la détermination de l’amende, l’AEPD a considéré la gravité de la violation vu la nature des données traitées (données sensibles de santé), et que le sous-traitant disposait d’un chiffre d'affaires élevé. L’AEPD a infligé une amende de 500 000 €.\u003Cbr />\r\nEn sanctionnant MARINA SALUD, l'AEPD rappelle l'importance de \u003Cstrong>respecter strictement la chaîne contractuelle et d’assurer une transparence totale\u003C/strong> dans la gestion des sous-traitants.\u003C/p>\r\n\u003Cp>🔗 Décision disponible (en espagnol) : \u003Ca href=\"https://www.aepd.es/documento/ps-00127-2024.pdf\" rel=\"nofollow\">AEPD\u003C/a>\u003Cbr />\r\n\u003Cbr />\r\n👩‍🚀 \u003Cstrong>Petit plus Dastra :\u003C/strong> Consultez notre article \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitance-rgpd-ce-que-change-lavis-du-cepd-doctobre-2024/59025\">\"Sous-traitance RGPD: ce que change l’avis du CEPD d’octobre 2024\"\u003C/a>\u003C/p>\r\n\u003Ch2 id=\"marketing-illegal-une-entreprise-britannique-sanctionnee-a-hauteur-de-90-000\">Marketing illégal : une entreprise britannique sanctionnée à hauteur de 90 000£\u003C/h2>\r\n\u003Cp>L'\u003Cstrong>Information Commissioner's Office (ICO)\u003C/strong>, l'autorité britannique de protection des données, a infligé, en date du 24 avril, une amende de \u003Cstrong>90 000 livres sterling\u003C/strong> (environ \u003Cstrong>105 000 euros\u003C/strong>) à \u003Cstrong>AFK Letters Co Ltd (AFK)\u003C/strong> pour avoir passé plus de \u003Cstrong>95 000 appels commerciaux non sollicités\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"les-faits-reproches\">Les faits reprochés\u003C/h3>\r\n\u003Cp>AFK Letters est une société spécialisée dans la rédaction de lettres d'indemnisation pour ses clients. L'enquête de l'ICO a mis en lumière plusieurs manquements majeurs :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Absence de consentement valable\u003C/strong> :\u003Cbr />\r\nEntre janvier et septembre 2023, AFK a utilisé des données issues de son propre site web et d'un prestataire tiers pour réaliser 95 277 appels téléphoniques, sans pouvoir démontrer l'existence d'un \u003Cstrong>consentement spécifique et valide\u003C/strong> de la part des personnes contactées, même pour les contacts récents.\u003Cbr />\r\nDe plus, le fournisseur de données tiers d’AFK a recueilli le consentement du public pour passer des appels en utilisant des mentions qui ne citaient pas explicitement le nom d’AFK.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Information insuffisante\u003C/strong> :\u003Cbr />\r\nLe fournisseur de données d'AFK recueillait un consentement générique, sans mentionner explicitement l'entreprise dans les déclarations de consentement. De plus, la \u003Cstrong>politique de confidentialité\u003C/strong> d'AFK évoquait uniquement les communications par e-mail, sans faire référence aux appels téléphoniques.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"consequences-2\">Conséquences\u003C/h3>\r\n\u003Cp>En sanctionnant AFK Letters, l’ICO rappelle l'importance :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>de \u003Cstrong>collecter un consentement explicite et documenté\u003C/strong> avant toute prospection téléphonique,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>et de \u003Cstrong>fournir une information claire et exhaustive\u003C/strong> aux personnes concernées.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>🔗 Décision disponible (en anglais) : \u003Ca href=\"https://ico.org.uk/action-weve-taken/enforcement/2025/04/afk-letters-co-ltd-mpn/\" rel=\"nofollow\">ICO, AFK Letters Co Ltd\u003C/a>\u003C/p>\r\n\u003Ch2 id=\"premieres-sanctions-sous-le-digital-markets-act-apple-et-meta-lourdement-condamnes\">Premières sanctions sous le Digital Markets Act : Apple et Meta lourdement condamnés\u003C/h2>\r\n\u003Cp>La \u003Cstrong>Commission européenne\u003C/strong> a prononcé, pour la première fois sous le régime du \u003Cstrong>Digital Markets Act (DMA)\u003C/strong>, des amendes d'un montant cumulé de \u003Cstrong>700 millions d’euros\u003C/strong> : \u003Cstrong>500 millions d’euros pour Apple\u003C/strong> et \u003Cstrong>200 millions d’euros pour Meta\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"les-fondements-juridiques\">Les fondements juridiques\u003C/h3>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Apple\u003C/strong> est sanctionnée pour avoir \u003Cstrong>limité la liberté des développeurs d’informer les utilisateurs\u003C/strong> de l’existence d’offres concurrentes, souvent moins chères, en dehors de l’App Store. Cette pratique est contraire à \u003Cstrong>l’article 5 du DMA\u003C/strong>, qui impose aux \"contrôleurs d’accès\" de ne pas entraver les entreprises utilisatrices dans leur communication commerciale.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Meta\u003C/strong> est sanctionnée pour son modèle \"Consentement ou paiement\" proposé aux utilisateurs de \u003Cstrong>Facebook\u003C/strong> et \u003Cstrong>Instagram\u003C/strong>. Les utilisateurs n’avaient initialement le choix qu’entre accepter une publicité fortement personnalisée ou payer un abonnement pour une version sans publicité. Or, le Digital Markets Act (DMA) \u003Cstrong>impose l’existence d’une troisième option : un service gratuit reposant sur un ciblage publicitaire limité.\u003C/strong>\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Ch3 id=\"contexte-et-consequences\">Contexte et conséquences\u003C/h3>\r\n\u003Cp>Malgré le montant élevé des amendes, \u003Cstrong>Apple et Meta restent peu fragilisés financièrement\u003C/strong> : leurs bénéfices annuels dépassent respectivement 82 et 55 milliards d'euros.\u003C/p>\r\n\u003Cp>Les deux entreprises disposent désormais de \u003Cstrong>60 jours pour se mettre en conformité\u003C/strong>. En cas de non-respect, elles s'exposent à des sanctions supplémentaires pouvant atteindre \u003Cstrong>10 % de leur chiffre d'affaires mondial\u003C/strong> — voire \u003Cstrong>20 %\u003C/strong> en cas de récidive.\u003C/p>\r\n\u003Cp>🔎 \u003Cstrong>À retenir :\u003C/strong>\u003Cbr />\r\n\u003Ca href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_1085\" rel=\"nofollow\">Cette décision \u003C/a>inaugure l’application concrète du DMA et traduit la détermination de l’Union européenne à \u003Cstrong>rétablir une concurrence loyale sur les marchés numériques\u003C/strong>, en tentant de rééquilibrer le pouvoir des grandes plateformes.\u003C/p>\r\n","DastrActu : Que s'est il passé au mois d'avril 2025 ?","L'actualité conformité vue depuis la station Dastra: une veille utile pour celles et ceux qui travaillent au quotidien sur le terrain de la privacy.",3148,17,"DastraNews : Que s'est il passé au mois d'avril 2025 ?",0,"","fr","dastractu-que-sest-il-passe-au-mois-davril-2025","L'actualité conformité vue depuis la station Dastra: une veille utile pour celles et ceux qui travaillent au quotidien sur le terrain de la Privacy et de l'IA. ",false,"Published",{"id":20,"displayName":21,"avatarUrl":22,"bio":23,"blogUrl":23,"color":23,"userId":20,"creationDate":24},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png",null,"2025-03-03T11:08:22","2025-05-02T12:30:00","2025-04-23T15:11:09.5500952","2025-08-20T15:03:10.6725406",{"id":29,"name":30,"description":31,"url":32,"color":33,"parentId":23,"count":23,"imageUrl":23,"parent":23,"order":12,"translations":34},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[35,37,40],{"lang":14,"name":30,"description":36},"Une liste d'articles rédigés par la communauté",{"lang":38,"name":30,"description":39},"es","Una lista de artículos escritos por la comunidad",{"lang":41,"name":30,"description":42},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[44,49,70],{"id":29,"name":30,"description":31,"url":32,"color":33,"parentId":23,"count":23,"imageUrl":23,"parent":23,"order":12,"translations":45},[46,47,48],{"lang":14,"name":30,"description":36},{"lang":38,"name":30,"description":39},{"lang":41,"name":30,"description":42},{"id":50,"name":51,"description":52,"url":53,"color":54,"parentId":29,"count":23,"imageUrl":23,"parent":55,"order":12,"translations":60},9,"News","Stay up to date with the latest news from data protection authorities: decisions, fines, guidelines, and regulatory trends in GDPR and privacy.","news","#1676ca",{"id":29,"name":30,"description":31,"url":32,"color":33,"parentId":23,"count":23,"imageUrl":23,"parent":23,"order":12,"translations":56},[57,58,59],{"lang":14,"name":30,"description":36},{"lang":38,"name":30,"description":39},{"lang":41,"name":30,"description":42},[61,64,67],{"lang":14,"name":62,"description":63},"Actualités","Suivez les dernières actualités des autorités de protection des données (CNIL, EDPS, etc.) : décisions, sanctions, lignes directrices et tendances réglementaires en matière de RGPD et de privacy.",{"lang":38,"name":65,"description":66},"Actualidad","Todos los artículos relativos a las autoridades de protección de datos",{"lang":41,"name":68,"description":69},"Nachrichten","Alle Artikel mit Bezug zu Datenschutzbehörden",{"id":71,"name":72,"description":73,"url":74,"color":75,"parentId":29,"count":23,"imageUrl":23,"parent":76,"order":81,"translations":82},69,"Expertise","Gain insights from our experts on GDPR compliance, data protection, and privacy challenges. In-depth articles, professional analysis, and real-world best practices.","indepth","#000000",{"id":29,"name":30,"description":31,"url":32,"color":33,"parentId":23,"count":23,"imageUrl":23,"parent":23,"order":12,"translations":77},[78,79,80],{"lang":14,"name":30,"description":36},{"lang":38,"name":30,"description":39},{"lang":41,"name":30,"description":42},5,[83,85,88],{"lang":14,"name":72,"description":84},"Bénéficiez des conseils de nos experts sur la conformité RGPD, la protection des données et les enjeux privacy. Articles de fond, analyses et retours d’expérience métier.",{"lang":41,"name":86,"description":87},"Fachwissen","Entdecken Sie die Artikel unserer DSGVO-Experten",{"lang":38,"name":89,"description":90},"Experiencia","Descubre los artículos de nuestros expertos en Privacy",[],"https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-original.jpg",[94,95,96,97,98,99,100],"https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-1000.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-1500.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-800.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-600.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-300.webp","https://static.dastra.eu/content/c3342136-8407-4fff-9deb-520442a6c46f/visuel-article-20-100.webp",59106]