Veille Juridique n°93 – Mars 2026. 

 

Henkilötietojen saatavuus: oikeuksien väärinkäytön tunnistaminen?

Une décision récente de la Cour de justice de l’Union européenne (CJUE) vient clarifier les conditions du droit d’accès des personnes à leurs données à caractère personnel, et en particulier les circonstances dans lesquelles une demande d’accès peut être considérée par un responsable de traitement comme abusive.

Alors que l’article 12 du RGPD associe le caractère abusif des demandes à leur aspect répétitif, la CJUE a ainsi précisé le 19 mars dans l’affaire C-526/24 – Brillen Rottler que ce critère de répétition est exemplatif : le nombre de requêtes n’est pas déterminant, et une première demande d’accès peut être considérée comme abusive si la personne concernée utilise ce droit pour en tirer un avantage,  par exemple si elle cherche à créer artificiellement un droit à indemnisation à l’encontre d’un responsable de traitement. Il s’agit dans un tel cas d’un abus de droit.

Refuser de répondre à une demande d’accès doit néanmoins, en vertu du RGPD, rester exceptionnel, et le responsable de traitement doit être en mesure de prouver l’intention abusive du demandeur.

Dans le cas d’espèce, le responsable a ainsi dû établir, à partir d’éléments concrets, que la demande n’avait pas pour but de vérifier le traitement des données, mais de créer artificiellement les conditions d’une action en réparation.

Le demandeur était en effet connu pour avoir effectué de multiples demandes auprès de nombreux responsables de traitement, après leur avoir communiqué ses données, afin d’obtenir réparation.

La Cour rappelle que trois conditions doivent être réunies pour qu’une réparation puisse être octroyée :

• Une violation du RGPD,
• Un dommage
• Et un lien de causalité entre les deux.

Un dommage immatériel peut résulter d’une perte de contrôle ou d’une incertitude quant au traitement des données, mais le dommage doit être prouvé par le demandeur, et il ne peut avoir été causé par la conduite du demandeur.

Dans le cas d’espèce, le lien de causalité a été rompu en raison du comportement de la personne concernée, agissant dans le but de créer artificiellement les conditions du dommage.

Lorsque les trois conditions ci-dessus sont réunies, une atteinte au droit d’accès peut donc ouvrir droit à réparation, même si cette violation ne résulte pas directement d’un traitement de données au sens strict.

Refuser de répondre à une demande d’accès peut exposer le responsable à une demande de réparation de la part d’un demandeur de bonne foi.

Le responsable de traitement qui soupçonne une demande abusive devra donc redoubler de prudence et conserver des preuves de ce caractère abusif avant de refuser l’accès. 

Les précisions apportées par la CJUE rejoignent les lignes directrices publiées par le Comité européen de protection des données (EDPB) en 2022 sur le sujet, qui donne des orientations complémentaires.

Ainsi, le caractère excessif des demandes peut dépendre des spécificités du secteur dans lequel le responsable du traitement exerce ses activités.

« Plus les modifications apportées à la base de données du responsable de traitement sont fréquentes, plus la personne concernée est susceptible d’être autorisée à demander l’accès à ses données sans que cela soit considéré comme excessif. »

En cas de demandes répétitives, le responsable de traitement peut, au lieu de refuser l’accès, décider de facturer des frais à la personne concernée, correspondant au cout des démarches administratives occasionnées par les demandes.

On notera enfin que la Commission européenne entend aussi, dans sa proposition d’Omnibus numérique, apporter plus de sécurité juridique aux responsables de traitement lorsqu’ils sont confrontés à des abus de droit de la part des personnes concernées.

Si l’EDPB et l’EDPS (Contrôleur européen de la protection des données) soutiennent dans leur avis du 10 février dernier cette volonté de clarification, ils estiment que l’exercice du droit d’accès à des fins autres que la protection des données à caractère personnel ne devrait pas être un élément définissant ce qu’est un abus… tant que la bonne foi du demandeur n’est pas en cause.

 

Un décret d’application de la loi SREN, publié le 24 mars, introduit des exigences supplémentaires pour l’hébergement des données de santé (HDS) exclusivement sur le sol de l’UE ou de l’EEE, exigences accueillies favorablement par la CNIL car visant à accroître la transparence vis-à-vis des personnes concernées ainsi qu’à renforcer la maîtrise des données de santé par les parties au contrat d’hébergement vis-à-vis du risque d’accès extra-européen.

De façon plus générale, c’est tout le système informatique de l’état qui entend migrer vers des solutions souveraines.

Ainsi, une semaine après l’annonce du déploiement de la plateforme collaborative LaSuite auprès des 80 000 agents de l’Assurance Maladie, la direction interministérielle du numérique (DINUM) a officialisé le 9 avril sa volonté de quitter Windows pour Linux et de basculer vers une solution souveraine avant la fin de l’année.

Ces objectifs sont devenus plus concrets depuis le séminaire du 8 avril qui a réuni pour la première fois les ministères, opérateurs publics et acteurs privés dans le but d’identifier de quels logiciels et services étrangers l’État dépend aujourd’hui afin de s’en passer demain.

« Dès l’automne, chaque ministère (et les organismes publics qui en dépendent) devra remettre sa propre feuille de route pour réduire ses dépendances numériques étrangères. »

La feuille de route en matière de sécurité numérique de l’État 2026-2027 a été publiée début avril.

Elle s’inscrit dans la perspective de la mise en conformité des administrations de l’État à la directive NIS2 et les engage dans leur transition vers la cryptographie post-quantique. 

« Dans un contexte de menace élevée et d’une situation géopolitique dégradée, elle fixe les efforts prioritaires que doivent fournir les ministères en matière de sécurité numérique : consolider la gouvernance, renforcer la gestion des accès, maîtriser l’environnement des systèmes d’information, etc. »

La CNIL a publié le 3 avril ses thématiques prioritaires de contrôle pour 2026.  Elle se concentrera sur

• Le recrutement,
• Le répertoire électoral unique
• Les fédérations sportives.

D’autres annonces relatives à la cybersécurité interviendront à l’occasion de la publication de son rapport annuel en mai.

Elle a également publié son programme de travail pour l’accompagnement des professionnels, qui mettra l’accent sur

• L’utilisation de l’IA,
• Terveystiedot,
• Les conditions du droit d’accès
• La cybersécurité.

On trouve aussi sur son site un nouveau référentiel concernant les durées de conservation des données RH. La CNIL rappelle enfin dans une publication du 20 mars les conditions – très restrictives – d’enregistrement du son par les caméras de vidéoprotection.

Alors que le piratage des Agences Régionales de Santé (ARS) a été confirmé officiellement en septembre 2025, la situation prend une tournure plus alarmante aujourd’hui alors que le groupe de hackers DumpSec revendique l’attaque et met désormais en vente une base de données massive issue du système de santé français.

Plus de 35 millions de patients seraient concernés, et les données incluraient des informations sensibles relatives aux parcours de soins.

La violation de données provient de l’usurpation d’identifiants de praticiens sur les serveurs GRADeS (groupement régional d’appui à la e-santé),

La CJUE a rendu le 19 mars un arrêt affectant les conditions de collecte de données biométriques par la police française.

Elle a considéré dans l’affaire C 371/24 – Comdribus qu’une législation nationale est incompatible avec la directive européenne « Police justice » lorsqu’elle autorise un service répressif à traiter systématiquement les données biométriques de personnes soupçonnées sans exiger de l’autorité compétente qu’elle justifie la nécessité absolue et la proportionnalité de ce traitement.

Une personne qui refuse la collecte de ses données biométriques ne peut être sanctionnée que si la collecte envisagée répond à ces conditions, appréciées au regard des circonstances au moment où cette collecte est décidée par les autorités compétentes.

La motivation de la collecte est nécessaire pour permettre à la personne concernée d’exercer son droit à un recours juridictionnel effectif.

Dans le cas d’espèce, lors d’une action menée à Paris en mai 2020 par des activistes pour le climat, plusieurs participants, dont le plaignant, avaient été interpellés par les forces de l’ordre pour organisation d’une manifestation non déclarée.

Placé en garde à vue, le plaignant avait refusé de se soumettre à la prise d’empreintes digitales et de photographies.

Le ministre de l’Intérieur a affirmé le 3 avril au Sénat, lors d’une séance de questions au gouvernement, que l’utilisation d’un logiciel de reconnaissance faciale par les forces de l’ordre sur leurs dispositifs de contrôle d’identité Neo n’était pas légale, sauf dans le cadre d’une enquête sous la direction d’un juge.

Le ministre a indiqué que la CNIL se penchait actuellement sur cette question.

Le patron d’une entreprise de cybersécurité lauréate du programme French Tech 2030 a été interpellé fin mars dans le cadre d’un vaste coup de filet européen sur une plate-forme pédocriminelle.

L’ingénieur, à la tête d’une start-up spécialisée dans l’anticipation des cybermenaces – qui compte parmi ses clients le FBI et la Commission européenne -, est soupçonné d’avoir acheté des images et des vidéos pédopornographiques via une plate-forme pédocriminelle du Darknet.

Plus de 200 interpellations ont été effectuées par les forces de l’ordre à travers l’Europe dans le contexte d’une opération coordonnée, grâce à des paiements en cryptomonnaies tracés et désanonymisés par les enquêteurs.

 

Euroopan unionin toimielimet ja elimet

Le 11 mars, le Parlement européen a accepté la prolongation des règles (exceptionnelles) permettant le contrôle des communications électroniques (« Chat control »), tout en limitant leur champ d’application.

Plutôt que d’accorder une autorisation générale pour les technologies de scan, le Parlement a demandé que ces outils ne soient utilisés que contre des suspects connus et uniquement pour détecter du matériel pédopornographique connu.

Dans l’intervalle, Google, Meta, Microsoft et Snap (Chat) ont néanmoins réaffirmé dans un communiqué de presse commun « qu’ils continueront à prendre des mesures volontaires concernant leurs services de communication interpersonnelle concernés ».

Les négociations interinstitutionnelles sont toujours en cours : la présidence chypriote du Conseil vise à finaliser le projet d’ici juillet 2026, et la question fait actuellement l’objet de négociations dans le cadre du trilogue entre le Parlement, le Conseil et la Commission.

Le 26 mars, les députés européens ont pris position en plénière sur le volet IA du paquet numérique (Digital Omnibus).

Ils ont voté le report de l’entrée en vigueur de plusieurs dispositions du règlement sur l’IA.

Les systèmes IA impliquant la biométrie et ceux utilisés dans les infrastructures critiques, l’éducation, l’emploi, les services essentiels, les forces de l’ordre, la justice et la gestion des frontières seraient ainsi repoussés d’août 2026 au 2 décembre 2027.

Les parlementaires proposent de décaler la mise en conformité des autres systèmes soumis à régulation sectorielle (sécurité et surveillance des marchés) au 2 août 2028.

Les trilogues entre la Commission européenne, le Parlement et le Conseil visent un accord provisoire sur le texte pour le 28 avril.

Rappelons que les principes essentiels du règlement sont déjà entrés en vigueur et sujets aux contrôles de la CNIL

Le 24 mars, la Commission européenne a détecté une cyberattaque ayant touché l’infrastructure cloud hébergeant son site web sur la plateforme Europa.eu, qui s’est avérée plus grave qu’indiqué initialement dans son communiqué de presse.

Les données touchent 71 clients du service d’hébergement Europa. CERT-EU, le service de sécurité de l’UE, confirme la présence de noms, identifiants, adresses email et contenus de messagerie dans la fuite.

340 Go de données et près de 52 000 fichiers d’emails ont été publiés sur le dark web.

Deux arrêts importants de la CJUE datant du 19 mars, Brillen Rottler et Comdribus, ont fait l’objet de développements ci-dessus dans l’édito et les actualités en France.

Le Consortium européen d’infrastructure numérique « Digital Commons » (EDIC) prend forme avec l’adhésion de nouveaux pays et le lancement de ses premiers projets, dont un projet pilote pour un Fonds européen de technologie souveraine.

L’objectif du consortium est d’aider les États membres de l’Union européenne à développer des infrastructures numériques ouvertes et à renforcer la souveraineté numérique de l’Europe.

 

Uutisia Euroopan unionin jäsenmaista.

Un tribunal allemand a estimé que Meta avait traité illégalement les données à caractère personnel de personnes non inscrites via sa fonctionnalité « Trouver des amis » sur Facebook.

De plus, l’entreprise ne disposerait d’aucune base légale pour traiter les données à caractère personnel des utilisateurs provenant de sa propre plateforme à des fins publicitaires.

Dans une affaire récente, un tribunal autrichien a ainsi estimé que l’autorité de protection des données avait à juste titre refusé de traiter une plainte en vertu de l’article 57(4), du RGPD, après qu’une personne eut tenté d’abuser du mécanisme de plainte pour retarder le recouvrement d’une créance.

L’APD belge a estimé qu’un employeur avait satisfait de manière suffisante à la demande d’accès d’un salarié en lui fournissant ses données par le biais d’une reproduction plutôt que par l’extraction intégrale des courriels concernés.

En Finlande, l’APD a adressé un avertissement à une agence d’évaluation de crédit pour avoir traité de manière inappropriée des demandes d’accès aux données.

Le responsable du traitement renvoyait les personnes concernées vers son portail d’accès aux données sans effectuer de suivi, et indiquait que des frais seraient facturés pour toute demande formulée plus d’une fois au cours d’une période de douze mois.

L’APD espagnole a infligé une amende de 950 000 € à un prestataire de services d’identification numérique et de vérification de l’âge (YOTI) pour avoir collecté des données biométriques sans consentement valide (absence de granularité suffisante et de garanties concernant les données relatives à des mineurs) et ne pas avoir limité la durée de conservation des données.

L’APD a également infligé une amende de 2 000 000 € à Hyundai après qu’une cyberattaque a exposé les données de plus d’un million de personnes, notamment leurs noms, leurs coordonnées et leurs numéros d’identification de véhicules. Elle a estimé que le responsable du traitement n’avait pas assuré un niveau de sécurité adéquat, notamment parce que les données concernées n’étaient pas chiffrées.

Enfin, l’APD a infligé une amende particulièrement lourde (10 millions d’euros) à l’opérateur aéroportuaire Aena pour la manière dont il a mis en place son système d’embarquement par reconnaissance faciale. Le programme en question permet aux passagers d’embarquer simplement en regardant une caméra. L’autorité a constaté que ce système, utilisant la biométrie, a été mis en place sans analyse d’impact préalable en matière de protection des données.

L’APD italienne a infligé une amende de 31 800 000 € à une banque pour ne pas avoir mis en place des mesures de sécurité suffisantes afin d’empêcher un employé d’accéder aux données financières de plus de 3 500 personnes à des fins non liées à ses fonctions.

Le responsable du traitement a également omis d’informer en temps utile l’APD et les personnes concernées de cette violation de données.

Une autre banque a été sanctionnée à hauteur de 17 628 000 € pour avoir transféré les comptes de 275 000 clients à sa filiale sans leur consentement. La banque s’était appuyée sur le profilage pour sélectionner des personnes considérées comme des clients « principalement numériques ».

Au Luxembourg, La Cour administrative suprême a annulé une amende de 746 000 000 € infligée à Amazon. La décision ne remet pas en question le traitement illégal de données à caractère personnel à des fins de publicité ciblée, mais demande à l’APD de réévaluer la faute et la proportionnalité avant d’imposer toute nouvelle sanction.

Dans le cadre d’une procédure en référé, un tribunal des Pays-Bas a interdit à la plateforme de réseaux sociaux X de produire et de diffuser, via Grok, du contenu à caractère intime non consensuel et du matériel pédopornographique. Le tribunal a également interdit à X de proposer les fonctionnalités de Grok tant que ces infractions persisteraient.

L’APD roumaine a infligé une amende de 637 262,50 RON (125 000 €) à Renault Roumanie pour ne pas avoir mis en place les mesures de sécurité appropriées à la suite d’une violation de données liée à une application gérée par un sous-traitant, qui a entraîné la publication de données à caractère personnel divulguées sur une plateforme en ligne.

 

La loi brésilienne sur la protection des mineurs en ligne est officiellement entrée en vigueur, et avec elle, un décret du ministre de la Justice qui vise directement les choix de conception utilisés par les géants de la tech pour capter l’attention des jeunes.

La réglementation fait passer la sécurité en ligne des enfants d’une modération réactive des contenus à une réglementation ex ante de l’architecture des plateformes, comprenant notamment des restrictions concernant le défilement infini, la lecture automatique, les notifications manipulatrices, la publicité ciblée par profilage destinée aux mineurs, ainsi que des obligations plus strictes en matière de vérification de l’âge.

Début avril, le ministère de l’industrie et des technologies de l’information chinois a publié avec 8 autres ministères des « Mesures expérimentales relatives à l’évaluation éthique et à la mise à disposition des technologies d’intelligence artificielle ».

Le document donne un aperçu de ce que la Chine entend par « gouvernance éthique de l’IA » et des types de politiques et de mesures techniques qu’elle juge nécessaires, afin de lutter contre la banalisation de l’éthique via des stratégies marketing qui promettent des services respectueux mais qui en réalité ne respectent pas les réglementations de l’IA.

Le 24 avril, la société Meta a été condamnée à payer 375 millions de dollars d’amendes civiles par un jury de l’État américain du Nouveau-Mexique, qui a estimé que l’entreprise n’avait pas suffisamment protégé les enfants sur ses plateformes. Cette amende fait suite à des violations d’une loi sur les pratiques déloyales.

Le 8 avril, une cour d’appel fédérale de Washington, D.C., a refusé de bloquer l’inscription de la société d’IA Anthropic sur la liste noire du Pentagone en matière de sécurité nationale, une victoire pour l’administration Trump.

Une autre cour d’appel a toutefois rendu une décision opposée dans le cadre d’un recours judiciaire distinct intenté par Anthropic.

La société, développeur de l’assistant IA Claude, affirme que le secrétaire à la Défense a outrepassé ses pouvoirs en désignant l’entreprise comme un risque pour la chaîne d’approvisionnement en matière de sécurité nationale.

Anthropic avait refusé de supprimer certaines restrictions d’utilisation de ses produits au regard de leur utilisation par la défense américaine.