Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
DastrActu vous propose une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la privacy.
Chaque mois, nous allons plus loin qu’un simple récapitulatif : Nous sélectionnons une dizaine de décisions, actualités ou prises de position ayant un impact concret sur vos missions et vos organisations.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données.
Voici notre sélection pour avril 2025 :
Il pleut des rapports!
Ce mois d’avril 2025 marque une vraie effervescence réglementaire en matière de protection des données : plusieurs autorités ont publié leurs rapports annuels, chacun apportant des éclairages précieux sur les priorités, les tendances et les futures évolutions du RGPD et de la gouvernance des données en Europe.
📄 Rapport annuel 2024 de la CNIL (France)
La CNIL publie son rapport 2024 et fait un double constat : une augmentation constante des plaintes, et une accentuation de ses contrôles sur plusieurs secteurs sensibles.
Faits marquants du rapport :
Hausse notable des sanctions: 331 mesures correctrices ont été prononcées, dont 87 sanctions totalisant plus de 55 millions d’euros d’amendes.
5 629 violations de données personnelles ont été notifiées, marquant une hausse de 20 % par rapport à 2023.
Concernant l'IA: publication de 12 fiches pratiques, dont 9 finalisées, pour guider le développement de systèmes d’IA respectueux des données personnelles.
17 772 plaintes reçues, un record, avec une prédominance des thématiques liées aux télécoms, web et réseaux sociaux (49 %), suivies du commerce (19 %) et du travail (13 %).
🔗 Lire le résumé : Résumé du rapport annuel 2024 – CNIL
🔗 Lire le rapport complet : Rapport annuel 2024 – CNIL
📄 Rapport 2024 du Comité européen de la protection des données (CEPD)
Dans son rapport, le CEPD met en lumière son action coordonnée au niveau européen pour garantir l’application uniforme du RGPD.
Principaux enseignements :
- Avis du CEPD (article 64(2) RGPD) : le comité a adopté huit avis importants, notamment sur les modèles « consentement ou paiement » utilisés par les grandes plateformes en ligne, ou l’entraînement des modèles d’intelligence artificielle avec des données personnelles.
- Lignes directrices : Publication de quatre nouvelles lignes directrices, dont le traitement des données basé sur l’intérêt légitime (article 6(1)(f) RGPD), ou les transferts de données vers des autorités de pays tiers (article 48 RGPD).
- Renforcement de la coopération et de l’application du RGPD:
- Actions coordonnées : Lancement de la troisième action coordonnée axée sur le droit d’accès aux données, identifiant des disparités dans la manière dont les organisations répondent aux demandes d’accès.
- Taskforce ChatGPT : Création d’un groupe de travail pour examiner les traitements de données liés à ChatGPT, en l’absence d’établissement principal de l’entreprise dans l’UE.
- Soutien aux autorités nationales : Le Pool d’Experts a renforcé les capacités des autorités de protection des données, notamment sur des sujets complexes comme l’IA et les mécanismes de consentement.
🔗 Lire le résumé : Executive Summary – Rapport EDPB 2024
🔗 Lire le rapport complet : Rapport EDPB 2024
👩🚀 Petit plus Dastra : Consultez notre article sur l'avis du CEPD "Intérêts légitimes et objectif purement commercial : c'est possible... sous conditions !"
📄 Rapport 2024 du Contrôleur européen de la protection des données (EDPS)
Le Contrôleur européen de la protection des données (EDPS), garant de la protection des données au sein des institutions européennes, livre également son bilan 2024.
Points clés :
Renforcement de son rôle de contrôle interne sur les institutions et agences européennes notamment en auditant certains systèmes informatiques des institutions européennes, depuis les sites web jusqu’aux systèmes d’information à grande échelle (ex: systèmes d’information Schengen et visas)
Attention accrue portée à l'usage de l'IA dans les services publics européens et création de réseau de correspondants IA pour les IUE dans le cadre de la législation sur l’IA.
Enquêtes sur les violations présumées de la législation en matière de protection des données par des institutions européennes (ex: utilisation par la Commission européenne d’outils Microsoft)
Conseils au législateur de l'UE sur les réglementations à venir ayant un impact direct sur la vie privée et la protection des données des personnes.
🔗 Lire l'executive summary : Executive Summary – Rapport EDPS 2024µ
🔗 Lire le rapport complet : Rapport EDPS 2024
➔ Avec l'ensemble de ces rapports, une chose est claire : les contrôles deviennent plus ciblés et coordonnés. Pour les entreprises, l'anticipation et la structuration de la conformité deviennent des impératifs stratégiques.
La CNIL publie sa stratégie européenne et internationale pour 2025-2028
La CNIL vient de publier sa stratégie européenne et internationale pour la période 2025-2028. Objectif : renforcer l'influence de la France dans les discussions sur la protection des données et mieux anticiper les nouveaux enjeux technologiques globaux.
Trois grandes priorités sont mises en avant :
Renforcer l’efficacité de la coopération européenne pour mieux protéger les données personnelles dans le nouvel environnement numérique règlementaire.
Promouvoir des standards internationaux ambitieux en matière de protection des données, tout en soutenant l'innovation et les échanges de données.
Accroître l'influence européenne et internationale de la CNIL en défendant un modèle équilibré entre innovation technologique et respect des droits fondamentaux.
La CNIL souhaite également mieux accompagner les entreprises françaises dans l’évolution de leurs obligations internationales, tout en restant vigilante face aux risques liés à l’extraterritorialité du droit.
🔗 Lire le détail : Stratégie 2025-2028 – CNIL
Le CEPD publie ses recommandations sur la Blockchain et la protection des données
Le Comité européen de la protection des données (CEPD) a publié le 8 avril 2025 la version 1.1 de ses lignes directrices sur le traitement des données via la blockchain (guidelines 02/2025).
Le CEPD rappelle que l’absence d’autorité centrale ou de possibilité technique ne saurait justifier une dérogation aux obligations du RGPD.
Points clés du document :
Utiliser la blockchain uniquement si elle est nécessaire et proportionnée (éviter l’effet “tech for tech”).
Privilégier les blockchains permissionnaires, mieux gouvernables, notamment en matière d’attribution des responsabilités (responsable, sous-traitant).
Minimisation et anonymisation : stocker les données personnelles off-chain autant que possible, et ne placer on-chain que des identifiants pseudonymes ou des empreintes cryptographiques, et rappelle que le simple pseudonymat n'est pas suffisant pour échapper au RGPD.
Droit à l’effacement : l'EDPB souligne les défis que pose l'immuabilité des blockchains et encourage l’utilisation de techniques comme l’encryptage avec suppression des clés pour rendre les données inaccessibles.
Responsabilité et documentation : les organisations doivent réaliser une analyse d’impact (AIPD/DPIA) systématique avant tout traitement blockchain impliquant des données personnelles.
➔ Un document important pour toutes les organisations explorant des cas d’usage blockchain, afin d'anticiper les risques RGPD dès la conception, selon une approche Privacy by Design & by Default, et sous condition d’un encadrement technique et organisationnel solide.
🔗 Lire les lignes directrices : Guidelines 2/2025 – Blockchain & GDPR (EDPB)
Les cinq axes stratégiques du plan d’action européen pour l’IA
La Commission européenne a dévoilé un plan d’action ambitieux autour de cinq piliers, destinés à renforcer la souveraineté technologique de l’UE et à accélérer le développement d’un écosystème d’innovation robuste en intelligence artificielle.
1. Déployer une infrastructure européenne d’IA à grande échelle
L’objectif est de créer un réseau d’usines d’IA, dont treize sont déjà en place, et de soutenir la construction de giga-usines d’IA équipées d’environ 100 000 puces spécialisées.
Le programme InvestAI mobilisera jusqu’à 20 milliards d’euros pour financer cinq installations de ce type.
2. Accélérer l’accès à des données massives et fiables
Des laboratoires de données seront créés dans les usines d’IA pour collecter, agréger et exploiter des volumes massifs de données de haute qualité.
Une stratégie européenne pour l’union des données verra le jour en 2025 pour stimuler la circulation des données dans un véritable marché intérieur numérique.
3. Stimuler l’adoption de l’IA dans les secteurs stratégiques
La stratégie "Appliquer l’IA" visera à accroître l’adoption concrète de l’IA dans les secteurs public et privé. Les usines d’IA et les pôles européens d’innovation numérique serviront de leviers pour déployer des solutions d’IA adaptées aux besoins sectoriels.
4. Former et attirer les talents en IA
La Commission entend renforcer les compétences à travers :
le réservoir européen de talents,
l’action MSCA Choose Europe,
la future AI Skills Academy,
des programmes de bourses spécialisés en IA.
Des initiatives d’enseignement et de formation sur l’IA et l’IA générative seront développées à tous les niveaux.
5. Offrir un cadre réglementaire clair et simplifié
L’AI Act, entré en vigueur le 1er août 2024, est conçu pour instaurer la confiance, sécuriser les investissements et garantir un usage responsable de l’IA. Un guichet d’assistance réglementaire sera mis en place pour accompagner les entreprises dans leur mise en conformité, afin de renforcer la confiance et la sécurité juridique.
Prochaines étapes :
Deux consultations publiques sont ouvertes à toutes les parties intéressées jusqu’au 4 juin 2025, portant sur :
l'acte législatif sur le développement de l'informatique en nuage et de l'IA
la stratégie "Appliquer l’IA", afin d’identifier les priorités des parties prenantes, les obstacles à surmonter pour favoriser l’adoption de l’IA, ainsi que la pertinence des orientations stratégiques proposées — y compris les mesures complémentaires nécessaires pour assurer une mise en œuvre fluide et efficace du règlement sur l'IA.
Une troisième consultation concernant la stratégie pour une union européenne des données sera lancée en mai.
Articulation RGPD et ePrivacy : ce que dit l’avocat général dans l’affaire Inteligo
Le 25 avril 2025, l'avocat général de la Cour de justice de l'Union européenne (CJUE) a rendu ses conclusions dans l'affaire Inteligo Media c. ANSPDCP, apportant des précisions importantes sur l'articulation entre le RGPD et la directive ePrivacy.
Contexte de l'affaire
Inteligo Media, une société roumaine, avait été sanctionnée par l'autorité de protection des données roumaine (ANSPDCP) pour avoir envoyé des newsletters à des destinataires sans leur consentement préalable, en violation de l'article 13(2) de la directive ePrivacy. Inteligo Media contestait cette sanction, arguant que le traitement de données était fondé sur l'article 6 du RGPD, relatif à la licéité du traitement.
Problème juridique
La question porte sur la qualification de la newsletter en tant que communication non sollicités à fin de prospection directe au sens de l’article 13(2) de la directive 2002/58/CE. Cette qualification revêt une importance déterminante, puisqu’elle conditionne l’obligation ou non d’obtenir le consentement préalable et explicite des destinataires.
Position de l'avocat général
Bien que présentée sous une forme informative gratuite — résumés d’actualités juridiques accompagnés de liens vers le site —, la newsletter poursuit un objectif commercial clair : encourager les utilisateurs à consommer leur quota gratuit d’articles, afin de les inciter à souscrire à une offre payante.
Ce qui est déterminant, selon l’avocat général, c’est le caractère individualisé de l’envoi (adresse e-mail personnelle), combiné à la finalité économique de fidélisation. Cette stratégie, mêlant contenu et intention commerciale, suffit à requalifier la newsletter en communication de prospection directe, soumise à l’exigence de consentement préalable.
Étant donné que les pratiques d’Inteligo remplissaient les conditions de l’exception prévue à l’article 13(2) — à savoir que les coordonnées ont été obtenues dans un contexte de vente et que la prospection portait sur des services analogues (étant l’offre complète de contenus payants) — l’avocat général a souligné que la directive ePrivacy régit la situation, à l’exclusion de toute exigence supplémentaire issue du RGPD.
Conséquences
Une newsletter gratuite peut être assimilée à une vente au sens de la directive ePrivacy dès lors qu’elle s’inscrit dans une stratégie commerciale plus large visant à vendre des services additionnels. Ces messages promotionnels peuvent donc être envoyés sur la base d’un mécanisme d’opt-out — sous certaines conditions — plutôt que sur celui d’un consentement préalable (opt-in).
Bien que les conclusions de l'avocat général ne lient pas la CJUE, elles influencent généralement ses décisions. Si la Cour suit cette opinion, cela renforcera l'autonomie de la directive ePrivacy par rapport au RGPD dans le domaine des communications électroniques.
🔗Lire les conclusions de l'avocat général ici.
Sanction espagnole de 500 000 € pour l’hôpital MARINA SALUD : sous-traitance non conforme au RGPD
L’autorité espagnole de protection des données (AEPD) a infligé une amende de 500 000 euros à l’hôpital MARINA SALUD, S.A., pour manquement aux obligations encadrant la sous-traitance de données personnelles.
Rappel des faits
- Le ministère de la Santé et de la Santé publique de Valence (responsable du traitement) a fait appel, depuis 2009, aux services de Marina Salud (sous-traitant), une organisation de santé assurant des services de santé publique dans le cadre d’un contrat.
- Le 19 janvier 2023, le responsable du traitement a effectué une inspection sur les locaux du sous-traitant. Lors de cette inspection, il a été révélé que le sous-traitant utilisait un logiciel tiers de système d'information de santé, et a refusé de fournir au responsable du traitement le contrat en vigueur entre lui-même et ce tiers.
- Deux autres sous-traitants ultérieurs non autorisés avaient également été engagés
Les manquements constatés
L’AEPD a relevé une violation de l’article 28(2) du RGPD concernant la sous-traitance :
Sous-traitance non autorisée :
Bien qu’une convention de traitement datant de 2009 ait prévu une autorisation générale de sous-traitance, MARINA SALUD a, après l’entrée en vigueur du RGPD en 2018, signé plusieurs contrats de sous-traitance (notamment pour les systèmes d'information hospitaliers et de laboratoire) sans en informer préalablement le responsable de traitement.Non-respect du droit d'opposition :
Selon l’article 28(2) du RGPD, même en cas d’autorisation générale, le sous-traitant doit informer le responsable de tout changement prévu, afin de lui permettre d'exercer son droit d'opposition aux nouveaux sous-traitants.
Conséquences
Lors de la détermination de l’amende, l’AEPD a considéré la gravité de la violation vu la nature des données traitées (données sensibles de santé), et que le sous-traitant disposait d’un chiffre d'affaires élevé. L’AEPD a infligé une amende de 500 000 €.
En sanctionnant MARINA SALUD, l'AEPD rappelle l'importance de respecter strictement la chaîne contractuelle et d’assurer une transparence totale dans la gestion des sous-traitants.
🔗 Décision disponible (en espagnol) : AEPD
👩🚀 Petit plus Dastra : Consultez notre article "Sous-traitance RGPD: ce que change l’avis du CEPD d’octobre 2024"
Marketing illégal : une entreprise britannique sanctionnée à hauteur de 90 000£
L'Information Commissioner's Office (ICO), l'autorité britannique de protection des données, a infligé, en date du 24 avril, une amende de 90 000 livres sterling (environ 105 000 euros) à AFK Letters Co Ltd (AFK) pour avoir passé plus de 95 000 appels commerciaux non sollicités.
Les faits reprochés
AFK Letters est une société spécialisée dans la rédaction de lettres d'indemnisation pour ses clients. L'enquête de l'ICO a mis en lumière plusieurs manquements majeurs :
Absence de consentement valable :
Entre janvier et septembre 2023, AFK a utilisé des données issues de son propre site web et d'un prestataire tiers pour réaliser 95 277 appels téléphoniques, sans pouvoir démontrer l'existence d'un consentement spécifique et valide de la part des personnes contactées, même pour les contacts récents.
De plus, le fournisseur de données tiers d’AFK a recueilli le consentement du public pour passer des appels en utilisant des mentions qui ne citaient pas explicitement le nom d’AFK.Information insuffisante :
Le fournisseur de données d'AFK recueillait un consentement générique, sans mentionner explicitement l'entreprise dans les déclarations de consentement. De plus, la politique de confidentialité d'AFK évoquait uniquement les communications par e-mail, sans faire référence aux appels téléphoniques.
Conséquences
En sanctionnant AFK Letters, l’ICO rappelle l'importance :
de collecter un consentement explicite et documenté avant toute prospection téléphonique,
et de fournir une information claire et exhaustive aux personnes concernées.
🔗 Décision disponible (en anglais) : ICO, AFK Letters Co Ltd
Premières sanctions sous le Digital Markets Act : Apple et Meta lourdement condamnés
La Commission européenne a prononcé, pour la première fois sous le régime du Digital Markets Act (DMA), des amendes d'un montant cumulé de 700 millions d’euros : 500 millions d’euros pour Apple et 200 millions d’euros pour Meta.
Les fondements juridiques
Apple est sanctionnée pour avoir limité la liberté des développeurs d’informer les utilisateurs de l’existence d’offres concurrentes, souvent moins chères, en dehors de l’App Store. Cette pratique est contraire à l’article 5 du DMA, qui impose aux "contrôleurs d’accès" de ne pas entraver les entreprises utilisatrices dans leur communication commerciale.
Meta est sanctionnée pour son modèle "Consentement ou paiement" proposé aux utilisateurs de Facebook et Instagram. Les utilisateurs n’avaient initialement le choix qu’entre accepter une publicité fortement personnalisée ou payer un abonnement pour une version sans publicité. Or, le Digital Markets Act (DMA) impose l’existence d’une troisième option : un service gratuit reposant sur un ciblage publicitaire limité.
Contexte et conséquences
Malgré le montant élevé des amendes, Apple et Meta restent peu fragilisés financièrement : leurs bénéfices annuels dépassent respectivement 82 et 55 milliards d'euros.
Les deux entreprises disposent désormais de 60 jours pour se mettre en conformité. En cas de non-respect, elles s'exposent à des sanctions supplémentaires pouvant atteindre 10 % de leur chiffre d'affaires mondial — voire 20 % en cas de récidive.
🔎 À retenir :
Cette décision inaugure l’application concrète du DMA et traduit la détermination de l’Union européenne à rétablir une concurrence loyale sur les marchés numériques, en tentant de rééquilibrer le pouvoir des grandes plateformes.