Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?
Dastra vous propose DastrActu, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour juin 2025 :
Back to basics: la CNIL revient sur la qualification des rôles des acteurs dans la chaîne de traitement
Avant de lancer un traitement de données personnelles, il est essentiel de clarifier les rôles des acteurs impliqués. La CNIL rappelle, à la lumière des lignes directrices du CEPD de 2021, les contours des notions de responsable de traitement, sous-traitant et co-responsable de traitement, illustrés par des exemples concrets.
Ainsi, des développeurs utilisant un même protocole d’apprentissage fédéré pour entraîner un système d’IA à partir de données dont ils sont initialement chacun responsables peuvent devenir co-responsables, dès lors qu’ils déterminent ensemble l’objectif (entraîner l’IA) et les moyens (quelles données exploiter, quel protocole choisir).
La CNIL insiste : au-delà des contrats, il est indispensable de définir précisément qui fait quoi, d’indiquer le niveau de responsabilité de chacun (qui peut varier) et de documenter la réflexion ayant conduit à la qualification retenue.
Enfin, même si la qualification contractuelle fixe les obligations (par exemple la tenue du registre), elle ne lie pas la CNIL, qui pourra toujours requalifier les rôles sur la base des éléments factuels.
📌 Bon à savoir : la CNIL propose aussi des exemples sectoriels pour aider les acteurs à mieux se situer dans leurs responsabilités.
👩🚀 Petit plus Dastra : https://www.dastra.eu/fr/article/comment-verifier-le-respect-du-rgpd-par-ses-sous-traitants/58946
La CNIL publie ses recommandations sur l’intérêt légitime en cas de développement des systèmes d’IA
Dans le prolongement de l'avis adopté par le CEPD en décembre 2024, la CNIL rappelle dans cette nouvelle fiche, que l'intérêt légitime est une base légale possible pour le développement des systèmes d'IA, tant que le responsable de traitement documente et examine la conformité de son traitement aux 3 conditions suivantes, appliquées au cas de système d'IA :
- Intérêt licite, précis et existant : par exemple, le développement de système d'IA afin de faciliter l'accès du public à certaines informations est a priori un intérêt légitime. Toutefois, l'intérêt cesse d'être légitime s'il ne peut pas être déployé légalement (ex interdit par l'AI Act) ou s'il n'existe pas de lien entre le système d'IA et l'activité/mission de l'organisme.
- Nécessaire pour l'objectif du traitement (et donc pas de possibilité moins attentatoire aux libertés), en tenant compte du principe de minimisation des données.
- N'outrepasse pas les droits et libertés fondamentaux de la personne concernée : plus les bénéfices attendus du traitement sont significatifs (pour le responsable de traitement, mais aussi les utilisateurs finaux ou l'intérêt du public), plus il est probable que l’intérêt légitime du responsable l’emporte.
Toutefois, ces bénéfices doivent être mis en balance avec les incidences potentiellement négatives sur les personnes concernées (notamment, les risques de perte de confidentialité des données, ou encore les risques de propagation de fausses informations).
Ces incidences sont à évaluer en tenant compte d'éléments tels que les attentes raisonnables des personnes ou encore les mesures additionnelles mises en place, permettant de les limiter (ex: l'anonymisation, ou un droit d'opposition préalable).
Cette fiche fournit des exemples concrets à l'appui de ces propos, où l'intérêt légitime peut ou ne peut pas être mobilisé.
Si ces conditions ne sont pas remplies, le consentement devient nécessaire, ou en application de dispositions légales prévoyant ceci.
👩🚀 Petit plus Dastra : A noter qu'un intérêt commercial peut constituer un intérêt légitime (arrêt Tennisbond de la CJUE du 4 octobre 2024) sous certaines conditions.
Fiche focus de la CNIL sur l'intérêt légitime et le moissonnage
Dans la continuité de la fiche exposée ci-dessus, l'autorité française a publié une fiche focus sur le moissonnage (web scraping) qui repose généralement sur l'intérêt légitime, et les mesures à mettre en place par le responsable de traitement.
Il s'agit notamment de devoir définir en amont des cirières précis de collecte des données, d'exclure certaines catégories de données non nécessaires par l'intermédiaire de filtres ou encore des sites qui s'opposent au moissonnage de leur contenu, supprimer les données non pertinentes collectées malgré ces mesures. Ou encore limiter la collecte aux données librement accessibles et dont les personnes ont conscience de rendre publiquement accessibles.
Mais aussi, de tenir compte des attentes raisonnables des personnes concernées qui varient notamment en fonction du caractère publique des données, de la nature des sites et de leurs restrictions, du type de publication, etc.
D'où l'importance de tenir les personnes concernées informées de la collecte (par ex une liste mise à jour des sites concernés par le webscraping) et de leurs droits (notamment un droit d'opposition en amont de la collecte).
Pixels de suivi : la CNIL lance une consultation publique sur son projet de recommandation
La CNIL vient d’ouvrir une consultation sur son projet de recommandations concernant l’usage des pixels de suivi intégrés dans les e-mails, une technique qui permet à l’expéditeur de savoir si un message a été ouvert. Face à l’augmentation des plaintes, la CNIL précise que :
- L’usage de ces pixels doit respecter le RGPD et la loi Informatique et Libertés.
- En principe, leur utilisation à des fins marketing (mesure de performance des campagnes, personnalisation, création de profils, etc.) requiert le consentement préalable du destinataire.
- Des exceptions existent pour les finalités strictement techniques comme l’authentification, la sécurité ou la mesure anonyme du taux global d’ouverture d’e-mails sollicités.
Le projet insiste sur la nécessité d’un consentement éclairé, distinct pour chaque finalité, ainsi que la possibilité de retrait à tout moment (par exemple via un lien dans le pied de page des e-mails).
📝 La consultation publique est ouverte jusqu’au 24 juillet 2025.
Ceci intervient alors que l'autorité norvégienne sanctionne, le 10 juin, six sites web pour l’utilisation non conforme de pixels de suivi. Ces sites ont transmis des informations sur leurs visiteurs à des tiers sans disposer d’une base légale appropriée et sans respecter les exigences d’information des utilisateurs.
Projet PANAME: auditer les modèles d’IA pour vérifier leur conformité
Dans un avis adopté en décembre 2024, le CEPD rappelle que le RGPD s’applique fréquemment aux modèles d’IA entraînés sur des données personnelles, notamment en raison de leurs capacités de mémorisation.
En effet, démontrer qu’un modèle est résistant aux attaques portant sur la confidentialité des données est souvent indispensable pour démonter l'anonymisation, et par là, l'exclusion du champ du RGPD. La CNIL publiera prochainement des recommandations pour guider ces analyses.
Cependant, les outils pour conduire ces audits sont encore limités. La littérature scientifique est abondante mais peu adaptée au contexte industriel, les techniques open source nécessitent d’importants développements, et il n’existe pas encore de standard pour formaliser les tests de confidentialité.
Pour répondre à ces enjeux, la CNIL, le PEReN, l’ANSSI et le projet IPoP lancent PANAME, un projet collaboratif visant à développer une bibliothèque logicielle, en grande partie open source, pour standardiser et simplifier ces audits. L’outil sera testé avec des administrations et des industriels afin de garantir son adéquation aux besoins concrets et aux exigences du RGPD.
E-mails professionnels : la Cour de cassation reconnaît leur statut de données personnelles
Dans un arrêt du 18 juin 2025, la Cour de cassation a apporté une clarification importante sur le statut des e-mails professionnels échangés dans le cadre du travail et sur le droit d’accès des salariés à ces messages.
L’affaire concernait un directeur associé licencié pour faute après des plaintes visant des propos sexistes et à connotation sexuelle. Contestant son licenciement, il avait demandé à son employeur la communication de l’ensemble de ses e-mails professionnels ainsi que des métadonnées associées, pour préparer sa défense. L’employeur avait refusé, arguant que ces éléments, reçus dans le cadre de ses fonctions, n’étaient pas des données personnelles.
La Cour de cassation a rejeté cette position, confirmant la décision de la cour d’appel : elle a affirmé que les courriels professionnels d’un salarié, qu’il envoie ou reçoive, sont bien des données à caractère personnel au sens de l’article 4 du RGPD. Par conséquent, lorsque le salarié exerce son droit d’accès prévu par l’article 15 du RGPD, l’employeur doit lui fournir l’ensemble des courriels et métadonnées.
La Cour a toutefois précisé que cette communication pouvait être restreinte si elle portait atteinte aux droits et libertés d’autres personnes. En l’espèce, le salarié pouvait obtenir réparation pour le préjudice subi en raison du non-respect de son droit d’accès.
L’AEPD et l’EDPS mettent en avant l’apprentissage fédéré pour une IA plus respectueuse des données
L’Autorité espagnole de protection des données (AEPD) et le Contrôleur européen de la protection des données (EDPS) ont publié un rapport commun qui examine l’importance stratégique de l’apprentissage fédéré (Federated Learning) pour développer des modèles d’IA conformes aux principes de protection des données.
Ce mode d’entraînement permet de traiter localement les données sur chaque terminal ou site, sans les transférer vers un serveur central. Seuls les paramètres ou résultats d’entraînement sont partagés, ce qui limite l’exposition des données personnelles. L’apprentissage fédéré soutient ainsi des principes tels que la minimisation des données, la limitation des finalités, et renforce la responsabilité des acteurs en facilitant l’auditabilité.
Le rapport identifie des cas d’usage majeurs, notamment :
dans le domaine de la santé, où les données sont particulièrement sensibles,
pour les assistants vocaux ou les véhicules autonomes.
Il souligne toutefois plusieurs défis :
garantir la sécurité et la qualité des données dans tout l’écosystème,
éviter les biais et ne pas supposer que les modèles ou paramètres sont anonymes sans une analyse approfondie,
privilégier une conception « privacy by design » pour réduire les risques et renforcer la confiance entre acteurs.
Ainsi, l’apprentissage fédéré est vu comme une technologie à double levier, favorisant à la fois la protection des données et l’essor de l’économie numérique, en permettant la collaboration sur des données stratégiques sans les partager directement.
Royaume-Uni : De nouvelles lois sur la protection des données
Le Data Use and Access (DUAA) Act de 2025, a reçu le 19 juin, l'accord royal. L’Information Commissioner’s Office (ICO) a publié un article soulignant les bénéfices attendus pour les organisations britanniques.
Le DUAA vise à dynamiser l’économie, moderniser les services publics et simplifier le quotidien des Britanniques. Parmi ses principales dispositions figurent le partage des données de santé entre établissements (par exemple entre hôpitaux), la conservation des données dans le cadre d’enquêtes judiciaires, ainsi que la vérification d’identité en ligne, accompagnée de la création d’un label de confiance pour les prestataires.
Pour favoriser l’innovation :
Recherche scientifique : la DUAA clarifie quand il est possible d’utiliser des données personnelles pour la recherche scientifique, y compris commerciale, et autorise le recours à un « consentement large » couvrant un domaine de recherche.
Dispense d’information individuelle : permet de réutiliser des données personnelles pour la recherche sans envoyer de nouvelle notice de confidentialité si cela représenterait un effort disproportionné, à condition de protéger les droits des personnes et de publier ces informations sur son site.
Décisions automatisées : ouvre la possibilité d’utiliser toute base légale (y compris l’intérêt légitime) pour des décisions automatisées ayant un impact significatif, sous réserve de garanties appropriées. Attention, cela ne s’applique pas aux données sensibles.
Pour simplifier la gestion des données :
Nouveau fondement pour les « intérêts légitimes reconnus » : dispense d’effectuer la mise en balance entre les droits des personnes et l’intérêt poursuivi, par exemple pour la sécurité publique.
Partage facilité avec des autorités : permet de transmettre des données personnelles à d’autres organismes publics (comme la police) sans devoir vérifier si cela relève de leurs missions, cette vérification incombant à l’organisme demandeur.
Compatibilité présumée : admet que certains usages secondaires (ex. archivage dans l’intérêt public) sont automatiquement compatibles avec la finalité initiale, sans analyse de compatibilité.
L’ICO met à disposition des lignes directrices pratiques afin d’aider les entreprises à appliquer ces nouvelles règles dès leur entrée en vigueur.
États-Unis : vers une régulation locale de l’IA après la levée du moratoire
Le Sénat américain vote à 99 contre 1 la suppression du moratoire sur l’IA, ouvrant la voie à une régulation par les États.
Le moratoire américain sur la régulation de l’IA désigne une mesure législative adoptée en mai 2025 par la Chambre des représentants des États-Unis, qui vise à interdire à tous les États américains de réguler l’intelligence artificielle pendant 10 ans, dans le cadre du projet de loi baptisé « Big Beautiful Bill » par l’administration Trump.
Pourquoi? Les promoteurs du moratoire avancent que la fragmentation réglementaire actuelle (chaque État pouvant adopter ses propres lois) crée une insécurité juridique et nuit à la compétitivité américaine, en particulier face à l’Europe et à la Chine. Les grandes entreprises technologiques soutiennent ce gel, estimant que des règles trop strictes freineraient l’innovation.
Cependant, des critiques issus des deux bords politiques se sont vivement opposés à cette mesure, avertissant qu’une telle interdiction exposerait les consommateurs à des risques et permettrait aux grandes entreprises d’IA d’opérer avec un minimum de responsabilité.
L’action décisive du Sénat reflète une prise de conscience croissante du besoin d’une politique technologique agile et réactive, en particulier face à des domaines en évolution rapide comme l’IA.
La suppression du moratoire marque un tournant pour l’innovation en IA aux États-Unis. Plutôt qu’une interdiction centralisée et potentiellement restrictive au niveau fédéral, la voie est désormais ouverte pour que les États élaborent leurs propres cadres réglementaires.
Cela pourrait conduire à une approche plus nuancée de la gouvernance, permettant aux États d’adapter la régulation à leurs contextes économiques, sociaux et technologiques spécifiques.
Texas adopte une loi sur la gouvernance responsable de l’IA
Le gouverneur du Texas a signé, en date du 22 juin, la Texas Responsible Artificial Intelligence Governance Act, qui entrera en vigueur le 1er septembre 2025. Cette loi, votée à l’unanimité, vise à instaurer un cadre pour l’utilisation responsable de l’IA dans les agences publiques de l’État.
Une fois la loi entrée en vigueur le 1er janvier 2026, le Texas va :
Établir des obligations de base pour les « développeurs » et « utilisateurs » d’IA,
Interdire les systèmes d’IA destinés au scoring social ou à la discrimination,
Créer un premier bac à sable réglementaire sur l’IA aux États-Unis,
Confier à l’Attorney General (procureur général) l’autorité exclusive pour l’application de la loi, et
Prendre le pas sur les réglementations locales en matière d’IA grâce à une préemption étendue.
Le Texas rejoint ainsi un mouvement plus large aux États-Unis visant à encadrer le développement et le déploiement de l’IA dans le secteur public, en garantissant qu’elle soit utilisée de façon éthique et responsable.