Veille Juridique n°86 – août 2025. 

 

Cookies et ciblage des internautes : état des lieux.

La CNIL a infligé le 1er septembre une amende de 325 millions d’euros à la société Google et de 150 millions d’euros à la filiale irlandaise du groupe Shein, deux montants qui vont sensiblement rehausser la moyenne des sanctions décidées par la CNIL ces derniers mois.

Google a été sanctionné en raison de l’affichage de publicités insérées entre les e-mails des utilisateurs de Gmail et du placement de cookies lors de la création de comptes Google, sans le consentement valable des utilisateurs français.

La CNIL impose en outre à Google de supprimer dans les six mois cet affichage de publicités et d’obtenir le consentement valide des utilisateurs pour le placement de cookies publicitaires lors de la création d’un compte Google, sous peine d’une astreinte de 100 000 euros par jour. 

L’amende imposée à Shein concerne aussi le non-respect des règles applicables aux cookies, placés ici sur les appareils des utilisateurs visitant le site web « shein.com ».

Ces amendes importantes s’inscrivent dans le cadre des différentes mesures prises par la Commission pour réglementer le suivi et de ciblage des internautes, et publiées sur son site internet en 2019.

La CNIL avait déjà infligé une amende de 150 millions d’euros à Google en décembre 2021 pour violation de la réglementation sur les cookies et une amende de 50 millions d’euros en raison du manque de transparence et de clarté de sa politique de confidentialité ainsi que de l’absence de base juridique pour les publicités personnalisées.

Elle a aussi sanctionné récemment la société Orange pour des pratiques similaires d’envoi de publicités sous la forme de courriels.

Ces décisions nous donnent l’occasion de faire le point sur les pratiques de ciblage des internautes et sur le cadre légal.

Les règles applicables aux cas d’espèce sont spécifiques : la Commission rappelle que les opérations liées à l’utilisation des traceurs et à la prospection électronique relèvent non pas du RGPD mais d’autres règles : la directive « ePrivacy », transposée aux articles 82 de la loi Informatique et Libertés pour les traceurs, et L. 34-5 du CPCE pour la prospection commerciale par voie électronique.

Les pratiques considérées comme non-conformes concernent principalement le dépôt de traceurs sans le consentement de l’internaute, mais aussi la pratique, qui se développe, de l’utilisation de « murs de traceurs » (cookie walls) qui conditionnent l’accès de l’internaute à un service à son acceptation du dépôt de traceurs sur son terminal.

La CNIL ne considère pas cette pratique comme étant illégale en soi, contrairement à certains de ses homologues européens.

Elle souligne néanmoins que le consentement doit être libre et que les alternatives proposées à l’utilisateur doivent être présentées de manière équilibrée, sans l’inciter à recourir à une option plutôt qu’à une autre (par exemple, en rendant un choix plus complexe que l’autre).

Il faut également que le consentement soit éclairé, c’est-à-dire que les personnes aient une compréhension complète et claire des conséquences de leurs choix.

Ces décisions de la CNIL sont aussi l’aboutissement de plaintes déposées par l’ONG noyb il y a plus de deux ans auprès de nombreuses autorités de protection des données (APD) en Europe, concernant principalement le phénomène des cookie walls ou pay or okay (payer ou accepter) et la question de la transparence de la collecte de données.

Ainsi mi-août, la Cour administrative fédérale autrichienne a suivi l’avis de l’APD autrichienne et estimé que l’existence de plusieurs finalités au dépôt de cookies nécessite un consentement distinct.

Selon la cour, le regroupement de différentes finalités de traitement porterait atteinte à la liberté de décision et rendrait le consentement invalide.

« Cette granularité est étroitement liée à l’exigence selon laquelle le consentement doit être donné pour une finalité spécifique », indique l’exposé des motifs du jugement.

Ces derniers développements confirment la position des autorités de contrôle selon laquelle le cadre légal, et en particulier la directive ePrivacy, s’applique strictement au consentement, en particulier pour les cookies non essentiels.

Les autorités ne tolèrent plus les consentements “par défaut” ni les interfaces d’information floues.

       

Auditionné par le Sénat cet été, Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a admis qu’il ne pouvait « garantir » que les données des Français hébergées en Europe ne seraient jamais transmises au gouvernement américain en vertu du Cloud Act, même si « cela ne s’est jamais produit ».

Le gouvernement danois a annoncé, dans ce contexte de dépendance aux géants américains, le lancement officiel d’une initiative visant à évaluer l’intégration de solutions open-source au sein de ses services publics.

Le 9 septembre, la DGE et la DGCCRF ont publié le projet de désignation des autorités nationales en charge de la mise en œuvre du règlement européen sur l’IA.

Le document comprend un schéma indiquant les – nombreuses – autorités compétentes en fonction des articles du règlement concernés et des finalités des traitements par IA.

On peut désormais, grâce au travail du chef adjoint de la mission juridique de la DINUM, consulter la cartographie des contrôles de la CNIL par année et secteur d’activité.

La cartographie se concentre sur ces contrôles et ne reprend pas toutes les actions de la CNIL telles que sensibilisation sur le terrain, mises en demeure, sanctions, etc.

Elle est constituée sur la base des données que la CNIL diffuse sur data.gouv.

 

Europäische Institutionen und Gremien

L’actualité européenne est dense en cette période de rentrée, en raison de l’activité des institutions et en particulier de la Cour de justice de l’Union européenne (CJUE).

La proposition de règlement relative au contrôle des communications (« Chat control »), visant à prévenir et combattre les abus sexuels commis sur des enfants, est à nouveau à l’ordre du jour du Conseil européen du 12 septembre 2025 sous présidence danoise.

La proposition révisée prévoit la possibilité de scanner les communications sur le terminal de l’utilisateur avant leur envoi et constitue aux yeux de nombreux scientifiques et de la société civile un recul par rapport au texte de la présidence polonaise.

Une nouvelle lettre ouverte (la quatrième sur ce sujet) signée par plus de 600 scientifiques de 34 pays a ainsi été publiée le 8 septembre.

Elle insiste sur l’inefficacité et les risques que fait courir cette proposition en matière de chiffrement et mentionne les alternatives possibles.

Le 4 septembre, la Commission européenne a lancé le processus visant à adopter une décision d’adéquation en matière de protection des données avec le Brésil.

Une fois adoptée, cette décision sera la première décision d’adéquation pour l’Amérique latine depuis celles concernant l’Argentine le 3 juin 2003 et l’Uruguay le 21 août 2012.

Les autorités brésiliennes ont également engagé un processus visant à adopter une décision équivalente afin de permettre la libre circulation des données brésiliennes vers l’UE.

Les prochaines étapes consisteront à soumettre pour avis le projet de décision au Comité européen de la protection des données (EDPB) et au Conseil des ministres représentant les États membres de l’UE.

Le Parlement européen examinera également le projet.

Le 5 septembre, la Commission européenne a annoncé infliger une amende de 2,95 milliards d’euros à Google pour avoir enfreint les règles antitrust de l’UE en faussant la concurrence dans le secteur des technologies publicitaires (« adtech »).

Google aurait favorisé ses propres services de technologie publicitaire en ligne au détriment des fournisseurs concurrents de services de technologie publicitaire, des annonceurs et des éditeurs en ligne.

La Commission a ordonné à Google de mettre fin à ces pratiques d’auto-préférence et de mettre en œuvre des mesures visant à éliminer les conflits d’intérêts inhérents à sa chaîne d’approvisionnement adtech.

Google dispose désormais de 60 jours pour informer la Commission de la manière dont elle entend s’y prendre.

Cette sanction a suscité une réaction immédiate des Etats-Unis, Donald Trump ayant indiqué son intention de prendre des mesures de rétorsion à l’égard de l’UE.

Le 3 septembre, dans sa décision T-553/23 | Latombe v Commission, le Tribunal de l’Union européenne a rejeté l’action du député Philippe Latombe visant à annuler la troisième version de l’accord sur le transfert de données entre l’UE et les États-Unis, le Data Protection Framework (DPF), estimant que les États-Unis « garantissaient un niveau adéquat de protection des données à caractère personnel ».

M.soulignait notamment que l’organe de recours américain, la « Data Protection Review Court » (DPRC) n’est pas impartial et dépend du pouvoir exécutif.

Il pointait en outre la pratique des services de renseignement consistant à collecter en masse des données à caractère personnel transitant depuis l’Union européenne, sans l’autorisation préalable d’un juge ou d’une autorité administrative indépendante, et donc sans encadrement suffisamment clair et précis.

Le Tribunal rejette le recours en annulation.

Il souligne que le fonctionnement de la DPRC est soumis à une série de garanties, que la Commission européenne contrôle l’application du DPF, et juge suffisant que les activités de renseignement menées par les agences américaines soient soumises à un contrôle judiciaire a posteriori par la DPRC.

La décision du Tribunal de l’UE peut faire l’objet d’un recours devant la CJUE, et le député Philippe Latombe a déjà exprimé son intention d’intenter un tel recours.

La CJUE a retoqué le 4 septembre dans un arrêt important (affaire C-413/23 P | CEPD/CRU) une décision du tribunal de l’UE relative à la notion de donnée à caractère personnel.

Elle se prononce sur le recours du Contrôleur européen de la protection des données (EDPS) concernant l’arrêt du tribunal de l’UE qui annulait sa décision de 2020.

Dans cette décision, l’EDPS avait conclu que le Conseil européen de résolution unique (CRU) avait enfreint le RGPD des institutions européennes en communiquant à un cabinet comptable les commentaires de créanciers et d’actionnaires sur la procédure de faillite d’une banque espagnole.

La CJUE estime que les opinions personnelles des individus constituent des informations à caractère personnel et que le Tribunal aurait dû les considérer comme telles.

Elle estime également que le risque de réidentification lié au traitement et au transfert de données à caractère personnel doit être évalué au cas par cas au moment de la collecte, et que le Tribunal a commis une erreur en annulant la décision initiale du CEPD, en partie parce qu’il n’avait pas déterminé si le contenu des commentaires pseudonymisés contenait effectivement des informations à caractère personnel.

La CJUE s’est toutefois rangée du côté du CRU sur la question de savoir dans quelles conditions les données pseudonymisées peuvent également être des données à caractère personnel, en écrivant dans sa décision que « les données pseudonymisées ne doivent pas être considérées comme constituant, dans tous les cas et pour chaque personne, des données à caractère personnel aux fins de l’application (du RGPD) dans la mesure où la pseudonymisation peut, selon les circonstances de l’espèce, empêcher effectivement des personnes autres que le responsable du traitement d’identifier la personne concernée de telle sorte que, pour elles, la personne concernée n’est pas ou n’est plus identifiable ».

Dans un autre arrêt également daté du 4 septembre (arrêt C 655/23, IP contre Quirin Privatbank AG), la Cour s’est prononcée sur l’existence d’un droit d’injonction préventive d’abstention à l’encontre du responsable du traitement, et sur l’étendue du dommage moral.

La Cour considère que le RGPD n’offre pas de recours judiciaire préventif contre les traitements illicites futurs, mais que les États membres peuvent le prévoir.

Elle a également précisé que des sentiments tels que l’humiliation ou l’inquiétude peuvent suffire à établir un dommage moral, à condition d’en apporter la preuve.

Elle ajoute que la gravité de la faute du responsable de traitement ou l’obtention d’une injonction ne doivent pas influencer le montant de l’indemnisation, qui reste exclusivement compensatoire.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

En Allemagne, la Cour fédérale du travail a estimé qu’un employeur avait traité illégalement les données relatives à la santé d’un employé en le faisant surveiller afin de vérifier s’il simulait son incapacité à travailler.

Elle a également accordé à l’employé 1500 € de dommages-intérêts immatériels.

L’APD belge a réprimandé un homme politique qui avait collecté l’adresse électronique d’une personne à partir d’une source publique et lui avait envoyé des messages à caractère politique, en violation des principes de licéité, de limitation des finalités et de transparence du RGPD.

En Espagne, Loro Parque, une société gestionnaire d’un zoo et d’un parc aquatique, a été condamnée par l’APD à une amende de 250 000 € pour avoir collecté des empreintes digitales sans information préalable ni consentement : les personnes concernées étaient tenues de fournir leurs empreintes digitales si elles disposaient de billets promotionnels leur donnant accès aux deux parcs avec un seul billet.

En outre, l’APD a infligé une amende de 500 000 euros à la Chambre de commerce espagnole pour avoir transféré les numéros d’identification fiscale de travailleurs indépendants à des entreprises privées sans base légale.

En Italie, l’APD a infligé une amende de 50 000 € à une entreprise automobile.

Cette dernière avait organisé des entretiens de « retour au travail » avec ses employés après leur absence, donnant lieu à une collecte excessive de données, incluant des données sensibles.

L’APD pointe également une violation des principes de transparence et de validité du consentement des employés.

L’APD lithuanienne a imposé à la société Vinted d’arrêter de collecter les numéros de téléphone de ses clients à des fins de vérification de leur compte.

Elle a d’abord considéré que les raisons invoquées par Vinted, à savoir la vérification des comptes des utilisateurs et la garantie de la sécurité de la plateforme, ne constituaient pas un aspect essentiel du contrat entre le responsable du traitement et la personne concernée.

Elle a également noté que les conditions d’utilisation mentionnaient d’autres moyens possibles de vérifier l’identité d’un utilisateur, et que le traitement des données à caractère personnel ne répondait donc pas au critère de nécessité prévu à l’article 6(1)(b) du RGPD.

La Cour administrative suprême des Pays-Bas a estimé qu’un établissement de soins de santé mentale n’était pas tenu de se conformer à une demande d’effacement de données.

La conservation des données était nécessaire dans le cadre du contrat de traitement médical et pour la gestion des services de l’établissement.

En Pologne, la banque ING Bank Śląski s’est vu infliger une amende de 4 300 000 € pour avoir scanné des documents d’identité sans motif légitime ni évaluation des risques.

L’APD a constaté que la banque avait traité des données sensibles, notamment des numéros PESEL et des détails de documents, sans que cela soit nécessaire, enfreignant ainsi l’approche fondée sur les risques requise par la réglementation en matière de lutte contre le blanchiment d’argent.

 

La Chine renforce ses règles autour des transferts de données à l’étranger.

La succursale de Dior à Shanghai est accusée par les autorités de sécurité publique chinoises d’avoir transféré illégalement des données de clients vers le siège en France, sans respecter les règles d’évaluation de sécurité obligatoires, de notification des utilisateurs et de chiffrement.

La succursale a fait l’objet d’une sanction administrative.

Aux Etats-Unis, 44 procureurs généraux ont envoyé une lettre à 13 entreprises d’IA, dont OpenAI, CharacterAI, Replika et Meta, leur indiquant qu’elles seraient tenues responsables si elles causaient du tort à des enfants.

La lettre met en avant des révélations récentes concernant les directives techniques de Meta pour Meta AI et les chatbots de Facebook, WhatsApp et Instagram.

Ce document, approuvé par les équipes juridiques, politiques et techniques de l’entreprise, autorisait les chatbots à inviter les enfants à avoir des échanges romantiques ou séducteurs avec le chatbot, incluant des commentaires sur l’apparence des enfants ainsi que des scénarios de jeux de rôle.

Le blog « Tech Community » de Microsoft a annoncé fin août que la dernière mise à jour de MS Word pour Windows sauvegarde automatiquement et par défaut les fichiers Word des utilisateurs sur son cloud (OneDrive).

Cette mise à jour est présentée par Microsoft comme une amélioration en matière de sécurité, d’accès, de travail en équipe et d’utilisation de l’IA.

S’il est possible de modifier ces paramètres dans les préférences de Word, le chargement par défaut des documents sur un cloud américain pose des questions en lien avec le RGPD, concernant la confidentialité des données et la question de l’accessibilité de ces données par les autorités publiques des Etats-Unis.

Les lunettes intelligentes « Halo » suscitent l’inquiétude auprès des experts en IA.

L. Jarosvsky rapporte que ces nouvelles lunettes sont toujours activées, enregistrent tout et ne disposent d’aucun indicateur pour avertir les personnes qu’elles sont enregistrées.

Dans une interview accordée à TechCrunch, les fondateurs de Halo auraient décliné leur responsabilité en indiquant que dans les États américains où il est illégal d’enregistrer secrètement des conversations sans le consentement de l’autre personne, il appartient à l’utilisateur d’obtenir ce consentement avant d’utiliser les lunettes.