Veille données personnelles – Mars 2025
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans Data4Coffee. Ne passez pas à côté des infos clés !
Pour vous inscrire, écrivez à data4coffee@squairlaw.com.
1. FRANCE
1.1. Sanction de 40 000 euros pour surveillance excessive de salariés
[4 février] La CNIL a infligé une amende de 40 000 € à une société immobilière pour surveillance excessive de ses employés. Les contrôles de la CNIL ont révélé que la société avait installé sur les ordinateurs de certains salariés un logiciel de suivi de leur temps de travail qui décomptait les horaires de travail, mais aussi les périodes d’inactivité tout au long de la journée en réalisant des captures d’écran régulières. En outre, le système de vidéosurveillance de l’entreprise captait en continu les images et le son des salariés présents dans les locaux. La CNIL a jugé que ces pratiques portaient une atteinte disproportionnée aux droits des salariés dès lors que les traitements opérés permettaient une surveillance systématique des employés.
1.2. Bilan 2024 des mesures correctrices de la CNIL : une forte hausse des sanctions
[5 février] En 2024, la CNIL a doublé ses actions correctrices en prononçant 331 décisions, dont 87 sanctions, pour un montant total de 55 millions d’euros d’amendes. Le bilan de la CNIL met en avant des manquements récurrents en matière de prospection commerciale et de gestion des données de santé, notamment en raison de l’absence de consentement des personnes concernées ou de mesures adéquates d’anonymisation. La CNIL a également prononcé 180 mises en demeure en 2024, notamment en raison d’absence de réponse à un exercice des droits. Enfin, le bilan fait état du développement de la procédure de sanction simplifiée qui a permis le prononcé de 69 des 87sanctions de l’année. L’intensification des mesures correctrices de la CNIL témoigne de sa volonté de renforcer le respect du RGPD.
Source : Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL | CNIL
1.3. IA et RGPD : la CNIL publie des recommandations pour une innovation éthique
[7 février] La CNIL a publié deux nouvelles recommandations visant à encourager un usage de l’intelligence artificielle (IA)respectueux des exigences du RGPD. Ces recommandations soulignent l’importance d’informer les personnes concernées et facilitent l’exercice de leurs droits, notamment en matière de transparence et d’accès aux données. La CNIL invite les acteurs de l’IA à développer des solutions innovantes prenant en compte la protection de la vie privée dès le stade de la conception du modèle. Les acteurs sont tenus de se conformer à la législation européenne, en trouvant un équilibre entre innovation technologique et respect des droits fondamentaux des utilisateurs.
1.4. Rappel à l’ordre de Qwant sur la base de constats datant de 2019
[11 février] Après avoir requalifié les données utilisées par le moteur de recherche à des fins de publicité comme personnelle et non anonymes, la CNIL a rappelé à Qwant ses obligations légales en matière de traitement de données personnelles. Malgré les efforts mis en œuvre par Qwant pour éviter la réidentification des personnes, la CNIL a estimé que les données en cause étaient simplement pseudonymisées. Ce rappel à l’ordre intervient à la suite de contrôles réalisés par la CNIL en 2019 et à des échanges avec ses homologues européens. La société Qwant a mis à jour sa politique de confidentialité en 2020, mais des mesures correctrices sont toujours requises en raison d’un manque de transparence et d’informations.
1.5. 2025 : une année sous pression pour les DPO
[12 février] D'après le dernier baromètre trimestriel de l'AFCDP, 43 % des délégués à la protection des données (DPO) anticipent une année 2025 difficile, en raison de l'évolution rapide des réglementations sur la protection des données et la cybersécurité. Cette perception souligne l'importance pour les organisations, y compris les PME et les collectivités territoriales, de renforcer leurs stratégies de conformité pour répondre aux nouvelles exigences légales.
Source : Espace Presse | AFCDP
1.6. Siri au cœur d’une plainte en France pour violation de la vie privée
[14 février] La Ligue des droits de l'Homme (LDH) a déposé une plainte contre Apple en France pour violation de la vie privée, traitement illicite des données personnelles et pratiques commerciales trompeuses. La plainte, appuyée par les révélations d'un lanceur d'alerte, dénonce des enregistrements non consentis effectués par l'assistant vocal Siri.Ces enregistrements, réalisés à l'insu des utilisateurs, ont été analysés par des sous-traitants, soulevant des questions sur le respect du RGPD. Cette action intervient alors qu'aux États-Unis, la justice californienne doit se prononcer sur un recours collectif similaire, accusant Apple d'avoir enregistré des conversations privées à des fins commerciales entre 2014 et 2024. La LDH demande une enquête approfondie pour faire la lumière sur ces pratiques et protéger les droits des utilisateurs.
1.7. Bilan des cyberattaques en 2024 : une menace grandissante pour les données sensibles
[17 février] L'année 2024 a été marquée par une augmentation significative des cyberattaques en France, touchant divers secteurs, notamment les entreprises, les collectivités territoriales et les établissements de santé. Les attaques ont entraîné des coûts financiers importants et des perturbations majeures des services. Parmi les incidents notables, la ville de Saint-Nazaire et le groupe Ramsay Santé ont été particulièrement affectés, avec des milliers de données personnelles compromises. Les entreprises réagissent en augmentant leurs budgets de cybersécurité et en embauchant des spécialistes, tandis que la directive NIS 2impose de nouvelles obligations de sécurité.
Source : Bilan des cyberattaques en 2024 : la menace grandissante du vol de données sensibles
1.8. Pegasus : une menace grandissante pour les chefs d'entreprise
[19 février] Selon un rapport d'iVerify, la plateforme de sécurité mobile, les attaques du logiciel espion Pegasus visant spécifiquement des dirigeants d'entreprises, notamment dans la finance, l’immobilier et la logistique, sont en nette augmentation. Ces cyberattaques augmentent le risque de fuite de données confidentielles, exposant juridiquement les entreprises à des sanctions potentielles pour non-respect du RGPD. iVerify aurait, sur le seul mois de décembre 2024, identifié des traces d’infections parPegasus sur une dizaine d’appareils, sur les 18 000 appareils analysés.
Source : How Democratizing Threat Hunting is Changing Mobile Security
2. UNION EUROPEENNE
2.1. Les utilisateurs de ChatGPT pourront désormais choisir la résidence de leursdonnées
[5 février] Dans un billet de blog, OpenAI a annoncé la mise en place de la résidence des données en Europe pour ChatGPT Enterprise,ChatGPT Edu et sa plateforme API, permettant aux organisations européennes de traiter et de stocker leurs données localement. Cette initiative vise à faciliter la conformité avec les exigences de souveraineté des données, notamment en matière de RGPD, en offrant des options de traitement des données au sein de l'Union européenne. Les clients peuvent désormais choisir l'Europe comme région pour le traitement et le stockage de leurs données.
Source : Introducing data residency in Europe | OpenAI
2.2. L’Avocat Général de la CJUE se prononce sur la notion de pseudonymisation
[6 février] Dans une affaire opposant le ComitéEuropéen à la Protection des Données (CEPD) au Conseil de Résolution Unique del’Union Européenne (SRB), l’Avocat Général de la Cour de Justice de l’UnionEuropéenne (CJUE) a estimé que les données pseudonymisées peuvent échapper à la qualification de données personnelles lorsque le risque d’identification des personnes concernées est inexistant ou insignifiant. L’Avocat Général indique néanmoins que cela ne peut impacter l’obligation du responsable de traitement de fournir aux personnes concernées l’ensemble des informations exigées par leRGPD avant tout transfert de données. Cette affaire est à surveiller en attendantl a décision finale de la CJUE.
Source : Conclusions de l’Avocat Général
Pour en savoir plus, consultez notre article ici.
2.3. L'EDPB adopte des principes clés pour la vérification de l'âge en ligne
[11 février] L'EDPB a publié une déclaration établissant dix principes pour garantir la conformité du traitement des données personnelles lors de la vérification de l'âge en ligne. Ces principes insistent sur la nécessité de minimiser la collecte de données et de garantir la transparence des méthodes utilisées. Ils soulignent également l'importance de la proportionnalité et de la responsabilisation des acteurs impliqués dans la vérification de l'âge. Ces recommandations visent à harmoniser les pratiques au niveau européen et à assurer une protection robuste des données personnelles des utilisateurs, en particulier des plus jeunes.
Source : edpb_statement_20250211ageassurance_en.pdf
2.4. La CJUE précise le calcul des amendes RGPD pour les groupes d'entreprises
[13 février] Le 13 février 2025, la Cour de justice de l'Union européenne (CJUE) a statué sur les modalités de calcul des amendes pour violation du RGPD. Empruntant au droit de la concurrence pour définir la notion d’entreprise et appliquer le principe d’ « influence déterminante », la CJUE a statué que, pour ce calcul, le chiffre d'affaires global d'un groupe doit être pris en compte, même si seule une filiale est en faute. Cette décision renforce la responsabilité des sociétés mères et vise à assurer un effet dissuasif adéquat des sanctions, obligeant les groupes à une vigilance accrue en matière de protection des données.
Source : CURIA – Documents (CJUE,Affaire C‑383/23, 13 février 2025)
2.5. X conteste l'application du DSA imposée par le tribunal de Berlin
[18 février] La plateforme X (anciennement Twitter) a fait appel d'une décision du tribunal de Berlin l'obligeant à se conformer auDigital Services Act (DSA) de l'Union européenne. X soutient que certaines exigences du DSA sont incompatibles avec ses politiques internes et pourraient compromettre la liberté d'expression sur sa plateforme, ainsi que la vie privée de ses utilisateurs.
Source : X challenging Berlin Court's DSA decision - Euractiv
2.6. Publication du rapport de l’ENISA sur les menaces cybernétiques dans le secteur financier
[21 février] L'Agence de l'Union européenne pour la cybersécurité (ENISA) a analysé 488 incidents signalés entre janvier 2023 et juin 2024, révélant que 46 % d’entre eux ont touché des banques européennes. Les attaques par déni de service distribué (DDoS), souvent liées à des événements géopolitiques comme l'invasion de l'Ukraine, ont provoqué des perturbations opérationnelles majeures.
Source : ENISA Threat landscape: Finance sector
3. INTERNATIONAL
3.1. Signature d’un engagement international pour une intelligence artificielle innovante et protectrice de la vie privée
[11 février] Lors du Sommet pour l’action sur l’IA qui s’est déroulé à Paris du 6 au 11 février 2025, les autorités de protection des données australienne, coréenne, irlandaise, française et du Royaume-Uni ont signé une déclaration commune visant à établir une gouvernance responsable del ’intelligence artificielle. Cette initiative promeut une IA transparente et respectueuse des droits fondamentaux des individus. Les autorités de protection des données appellent à intégrer les principes de protection des données dès la conception des systèmes d’IA, et à anticiper la gestion des risques liés à la désinformation, aux discriminations et aux biais algorithmiques. Par cette déclaration, les autorités concernées s’engagent notamment à clarifier les bases légales pour le traitement des données dans l’IA, et à renforcer la coopération internationale pour garantir une IA éthique et conforme.
3.2. Apple retire l’Advanced Data Protection sur iCloud au Royaume-Uni face à la pression du gouvernement britannique
[24 février] Apple a cessé d'offrir sa fonctionnalité de protection avancée des données (Advanced Data Protection) aux utilisateurs britanniques après que le gouvernement du Royaume-Uni a exigé un accès aux données chiffrées sur iCloud. Cette décision soulève des questions juridiques concernant l'équilibre entre la sécurité nationale et la protection de la vie privée des utilisateurs, et pourrait inciter d'autres gouvernements à formuler des demandes similaires, affectant ainsi la confidentialité des données à l'échelle mondiale.
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
