Veille Juridique n°88 – octobre 2025. 

 

La vidéo-surveillance, cible principale des sanctions de la CNIL.

La CNIL a fait le point en ce mois d’octobre sur sa procédure de sanction simplifiée.

Les 16 sanctions prononcées depuis mai dernier ont été assorties d’amendes pour un montant total de 108 000 euros, qui s’ajoutent aux 104 000 € des 10 décisions prononcées depuis le mois de janvier.

Outre la vidéosurveillance, les sanctions portent sur les pratiques de prospection commerciale réalisées sans le consentement des personnes concernées et les manquements à la coopération lors de demandes d’exercice des droits prévus par le RGPD (droit d’accès, de rectification ou d’opposition).

La vidéo-surveillance reste le thème majeur des sanctions, en particulier lorsqu’elle s’opère sur le lieu de travail.

La CNIL pointe de façon systématique le non-respect du principe de minimisation des données par les responsables de traitement.

Une société dans le domaine pharmaceutique et un établissement hospitalier ont été sanctionnés pour avoir filmé les locaux syndicaux et leurs accès directs, en infraction avec l’article 5.1.c. du RGPD qui précise que les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard du but poursuivi.

La CNIL rappelle que les caméras de vidéosurveillance installées dans les lieux de travail, qu’ils soient ouverts ou non au public, doivent respecter la vie privée des salariés.

« Les caméras ne doivent en aucun cas filmer les locaux syndicaux ou leurs accès directs. »

Toute atteinte excessive à la vie privée des personnes filmées contrevient ainsi à ce principe de minimisation, comme la CNIL l’a également constaté dans un internat dont le dispositif de vidéosurveillance filmait les élèves pendant les petits-déjeuners et dans le préau.

Sur le lieu de travail, les caméras ne peuvent être installées

• Que si elles poursuivent un objectif légitime tel que la sécurité des biens et des personnes,
• Dans des zones délimitées et non intrusives telles que les entrées et sorties du bâtiment, les zones de passage ou les entrepôts.

Des obligations de sécurité et de transparence s’imposent également :

• L’accès aux images doit être sécurisé et accessible uniquement au personnel habilité, et les données doivent être conservées pour une durée limitée, de quelques jours à un mois en principe.
• Le responsable devra informer et consulter préalablement les instances représentatives du personnel, et prévoir un affichage à destination des employés et du public.

Des exceptions restent possibles quant aux obligations de transparence : en cas de circonstances exceptionnelles et sous certaines conditions, le responsable de traitement peut installer temporairement des caméras non visibles par les salariés, à condition d’analyser la compatibilité du dispositif avec le RGPD et d’être en mesure de le justifier.

C’est en raison de l’absence d’une telle analyse d’impact, et du défaut d’implication de son DPO dans la mise en place d’un dispositif de vidéosurveillance dissimulé, que La Samaritaine a été sanctionnée par la CNIL en septembre dernier.

La société avait rapporté l’existence de vols commis dans les réserves et expliqué que le dispositif était temporaire mais elle n’avait mené aucune analyse préalable ni documenté le caractère temporaire de l’installation.

Ce non-respect de l’équilibre entre l’objectif poursuivi et la protection de la vie privée des salariés a valu à la société une amende de 100 000 €.

Rappelons enfin que pour les lieux accessibles au public, le dispositif doit être autorisé par le préfet du département, ou le préfet de police à Paris.

 

      

La Cour des comptes a publié le 31 octobre un rapport sur « les enjeux de souveraineté des systèmes d’information civils de l’État ».

Elle établit plusieurs constats :

• Certains ministères utilisent des solutions informatiques extra-européennes, parfois pour des données sensibles, au détriment de la souveraineté numérique.

Le rapport cite à ce propos la plateforme des données de santé, hébergée depuis plus de cinq ans par une entreprise américaine.

Il note aussi que des opérateurs privés proposent des applications de service public sans être soumis aux mêmes obligations que l’État.

• Il n’existe pas de cartographie des données sensibles par administration, qui constituerait un référentiel permettant d’identifier celles dont la souveraineté doit être prioritairement préservée.
• L’adoption de l’informatique en nuage souveraine par les administrations reste limitée, les clouds internes de l’État peinent à atteindre une échelle suffisante et la conciliation entre les exigences de souveraineté et les impératifs de performance s’avère complexe.
• La DINUM pilote deux infrastructures souveraines : le réseau interministériel de l’Etat (RIE) et le dispositif d’identité numérique (FranceConnect), considérés comme des réussites même si progrès sont encore nécessaires, notamment en matière de résilience.
• Au-delà de la maîtrise des données sensibles, l’État ne cherche pas la souveraineté totale, mais à établir un niveau de confiance suffisamment élevé en utilisant la commande publique, la mutualisation des achats et la validation par l’ANSSI pour limiter les risques.

Le Conseil d’État a confirmé le 15 octobre une amende de 8 000 000 € infligée par la CNIL à Apple pour avoir traité les données des utilisateurs français à des fins de publicité personnalisée sans leur consentement.

• Le Conseil d’État a estimé que la sanction n’était pas disproportionnée, compte tenu du nombre de personnes concernées — près de 27,5 millions d’utilisateurs entre juillet 2020 et juillet 2021 — et du poids économique du groupe.
• Il a également confirmé la compétence de la Cnil pour statuer sur ses activités en France, rejetant ainsi l’argument de l’entreprise selon lequel seule son entité irlandaise relevait du régulateur européen.

Le ministère du Travail et des Solidarités, la CNIL et l’AFCDP ont confié à l’Afpa la réalisation d’une nouvelle enquête de l’observatoire du métier de DPO, concernant l’impact de l’IA sur ce métier.

L’enquête pose des questions sur les modes de gouvernance de l’IA au sein des organismes, la place qu’y occupe le DPO, les principaux défis rencontrés par les DPO et leurs besoins en termes d’outillage et de formation. Les résultats seront publiés au premier semestre 2026.

La CNIL a publié le 28 octobre le compte rendu de son événement du 20 mai dernier, « RGPD : quel impact économique ? ». 

L’événement avait rassemblé des économistes ainsi que des régulateurs français (CNIL) et européens (autorité britannique de protection des données, Commission européenne), contribuant à l’évaluation ex post de la mise en œuvre du RGPD.

Saisie par les acteurs du secteur de la distribution sur la portabilité des données liées aux programmes de fidélité, elle a également précisé mi-octobre quelles informations doivent être transmises, en particulier s’agissant du code-barre et des données liées aux promotions auxquelles les clients ont eu accès.

 

Institutions et organismes européens

Les amendements au RGPD prévus dans le projet de simplification de la réglementation numérique (Digital Omnibus Act) pourraient aller plus loin qu’initialement annoncé selon une version informelle du document diffusée par la presse.

La proposition qui devrait être publiée officiellement le 19 novembre préciserait (en les limitant) certaines définitions clés, assouplirait certaines règles en matière de confidentialité et autoriserait l’utilisation de données à caractère personnel pour la formation à l’IA.

La société civile a déjà réagi en soulignant les dangers d’une telle simplification pour les droits fondamentaux.

Jeudi 9 octobre, la Commission européenne a annoncé le lancement d’une consultation publique sur son projet de lignes directrices concernant l’interaction entre le règlement sur les marchés numériques (DMA) et le RGPD.

Ce projet a été élaboré en collaboration avec le Comité européen de la protection des données (EDPB).

L’article 5(2) est au cœur de ces lignes directrices : le DMA exige des « gatekeepers » qu’ils obtiennent le consentement des utilisateurs pour le partage de leurs données entre différents services mais il ne définit pas les conditions précises de ce consentement.

Le texte précise désormais que ce consentement doit être valable au sens du RGPD, mais surtout qu’il doit être demandé séparément pour chaque finalité de traitement distincte (personnalisation du contenu et publicité ciblée).

La consultation est ouverte jusqu’au 4 décembre.

Le 24 octobre, la Commission européenne a conclu à titre préliminaire que Meta et TikTok enfreignaient le règlement sur les services numériques (DSA).

Les sociétés ne permettent pas aux chercheurs d’accéder de manière adéquate aux données accessibles au public.

La Commission conclut également à titre préliminaire que Facebook et Instagram ont manqué à leurs obligations (1) de fournir aux utilisateurs des mécanismes simples pour signaler les contenus illégaux, tels que les contenus pédopornographiques ou terroristes, et (2) de permettre aux utilisateurs de contester efficacement les décisions de modération de contenu prises par Meta.

TikTok et Meta ont la faculté d’accéder au dossier d’enquête et d’y répondre.

La Commission européenne a publié son cadre pour un cloud souverain à destination des autorités passant des marchés publics.

Le document s’appuie sur plusieurs initiatives européennes dont le cadre européen de certification de cybersécurité (Enisa, NIS2, Dora).

Il se réfère également aux politiques nationales telles que le « cloud au centre » en France avec le SecNumCloud de l’Anssi, et le Souveräner Cloud allemand.

La Commission propose un score de souveraineté pour les offres cloud, basé sur différents critères, qui suscite des réactions mitigées.

La méthode ne satisfait pas particulièrement les fournisseurs de cloud européens réunis au sein de l’association Cispe, qui la considèrent opaque et favorisant, en l’état, les acteurs étrangers.

Les députés européens demandent une enquête en vertu du DSA concernant Shein, Temu et AliExpress.

Suite à l’ouverture d’une enquête par le parquet de Paris sur ces quatre entreprises pour la vente de « poupées sexuelles ressemblant à des enfants », plus de 40 députés européens ont ainsi exhorté la Commission à lancer une enquête, selon un rapport d’Euractiv.

La proposition de règlement CSAM visant à prévenir et à combattre les abus sexuels sur les enfants était à nouveau à l’ordre du jour de la réunion du Conseil européen du 14 octobre.

L’Allemagne, qui était auparavant un fervent partisan du projet de loi, ayant retiré son soutien au projet de règlement, le vote a été reporté.

La proposition controversée prévoyait le scan des communications sur le terminal de l’utilisateur avant leur envoi, élément supprimé par la présidence danoise du Conseil afin d’obtenir un soutien suffisant de la part des États membres.

Le Danemark entendrait néanmoins prolonger indéfiniment l’autorisation temporaire actuelle pour les analyses « volontaires » de CSAM et « les fournisseurs de services à haut risque […] pourraient toujours être tenus de prendre des mesures pour développer des technologies pertinentes afin d’atténuer le risque d’abus sexuels sur des enfants identifiés sur leurs services ».

Les ministres de l’intérieur de l’UE doivent se réunir à nouveau début décembre.

Lors de sa réunion plénière d’octobre, l’EDPB a choisi le thème de sa cinquième action coordonnée en matière de contrôles, qui portera sur le respect des obligations de transparence et d’information prévues par le RGPD.

Le règlement garantit que les personnes concernées sont informées lorsque leurs données sont traitées (en vertu des articles 12, 13 et 14).

L’EDPB rappelle que ce droit à l’information est un élément central de la transparence et garantit aux personnes un meilleur contrôle sur leurs données.

Les autorités de protection des données participantes se joindront à cette action sur une base volontaire dans les semaines à venir, et l’action elle-même sera lancée au cours de l’année 2026.

Une enquête sur les courtiers en données personnelles, menée par le quotidien belge L’Echo, la rédaction spécialisée allemande Netzpolitik.org, la radio néerlandaise BNR, la radio allemande BR et Le Monde, montre la portée de la surveillance rendue possible par les données publicitaires géolocalisées.

Ces données obtenues par « Le Monde » et ses partenaires ont permis d’identifier et de suivre à la trace plusieurs dignitaires de l’Union européenne parfois jusqu’à leur domicile.

 

Actualité des pays membres de l’Union Européenne.

Le Land allemand du Schleswig-Holstein a abandonné ses systèmes de messagerie et de calendrier gouvernementaux au profit de logiciels open source.

La migration, qui a duré six mois, a remplacé Microsoft Exchange et Outlook par Open-Xchange et Mozilla Thunderbird.

Le transfert a concerné plus de 40 000 boîtes aux lettres électroniques et plus de 100 millions de messages et d’entrées de calendrier.

En Autriche, l’ONG Noyb rapporte que l’autorité chargée de la protection des données a rendu une décision concluant que Microsoft 365 Education suit illégalement les élèves et utilise leurs données à des fins propres à Microsoft.

Le géant du logiciel n’a pas non plus répondu à une demande d’accès relative à Microsoft 365 Education, largement utilisé dans les écoles européennes.

Un tribunal autrichien a confirmé une amende de 1 500 000 € infligée à IKEA pour surveillance vidéo illégale et excessive dans et autour d’une de ses succursales, enregistrant, entre autres, les clients saisissant leur code PIN.

Il a ainsi annulé une décision de l’APD qui tenait uniquement le vendeur pour responsable des violations commises au cours de l’achat.

En Belgique également, l’APD a réprimandé une entreprise pour avoir illégalement conservé le compte de messagerie électronique et le numéro de téléphone d’un ancien employé après la fin de son contrat de travail. L’APD a constaté que le responsable du traitement avait enfreint plusieurs dispositions du RGPD dont la violation du principe de limitation de la finalité, les principes de minimisation des données et de limitation de la conservation, les principes d’information de la personne et de droit à l’effacement.

Enfin, il n’existait plus aucune base légale pour continuer à traiter ces données.

En Espagne, l’APD a infligé une amende de 1 500 000 € à une société de services financiers (Servicios Financieros Carrefour) pour ne pas avoir assuré la sécurité et la confidentialité du traitement des données dans le cadre d’une violation de données ayant donné lieu à l’envoi de nombreux e-mails de phishing.

En Irlande, la nomination de l’ancienne lobbyiste de Meta, Niamh Sweeney, au poste de commissaire de l’autorité irlandaise de protection des données a suscité récemment un regain d’attention.

Le Conseil irlandais pour les libertés civiles (ICCL) a déposé le 25 octobre une plainte contre l’Irlande auprès de la Commission européenne, au motif que l’Irlande n’aurait pas fourni de garanties suffisantes quant à l’indépendance et l’impartialité de son processus de nomination.

La Commission européenne aurait réagi en indiquant ne pas avoir de compétence au regard des nominations nationales concernant les APDs.

L’APD néerlandaise a infligé une amende de 2,7 millions d’euros à la société Experian Nederland en raison de multiples infractions au RGPD.

Jusqu’au 1er janvier 2025, Experian fournissait à ses clients des évaluations de solvabilité pour lesquelles elle collectait des données sur, par exemple, les comportements de paiement négatifs, les dettes impayées ou les faillites.

L’APD a constaté une absence de base légale valable concernant la collecte des informations et un défaut d’information des personnes concernées.

La société a dû cesser ses activités dans le pays et s’est engagée à supprimer l’intégralité de sa base de données personnelles avant la fin de l’année.

 

 

L’APD britannique a sanctionné un prestataire de services aux entreprises spécialisé dans l’administration des pensions, ainsi que son sous-traitant, à hauteur respectivement de 8 000 000 £ et de 6 000 000 £ à, à la suite d’une cyberattaque qui a permis à des tiers non autorisés d’accéder aux données de plus de 6 millions de personnes.

L’APD a constaté un manque de mesures de sécurité appropriées.

L’IAPP rapporte que, pour la première fois depuis 2019, l’Organisation internationale de normalisation a mis à jour sa norme internationale relative à la gestion des programmes de conformité en matière de protection de la vie privée, ISO 27701.

La norme est désormais un système de gestion autonome, ce qui signifie que les organisations n’auront plus besoin de disposer d’un système de gestion de la sécurité de l’information certifié ISO 27001.

Toutefois, celles qui disposent d’un SGSI pourront intégrer les deux systèmes de gestion.

La norme détaille les exigences de haut niveau pour la mise en place d’un PIMS, qui doivent être respectées et mises en œuvre par toute organisation souhaitant obtenir la certification.

Bien qu’elle ne puisse être considérée comme un substitut à la législation, elle reste étroitement alignée sur le RGPD de l’UE et celui du Royaume-Uni.

Aux Etats-Unis, la police de l’immigration scanne les visages des gens dans la rue pour vérifier leur citoyenneté.

Selon le media américain 404, des vidéos diffusées sur les réseaux sociaux montrent des agents de l’ICE (Immigration and customs enforcement) et du CBP (Customs and borders protection) utilisant sur le terrain la technologie de reconnaissance faciale sur des passants.

L’application utilisée, Mobile Fortify, relierait les visages à une base de 200 millions d’images issues de bases de données du FBI, du Département d’État et d’autres agences.

L’application pourrait également effectuer des recherches croisées sur des véhicules, téléphones, adresses et armes à feu.

Alors que le Département de la Sécurité intérieure refuse de confirmer ou d’infirmer les capacités de « Mobile Fortify », le CBP reconnaîtrait s’appuyer sur “divers outils technologiques pour renforcer l’efficacité des agents”.

La concurrence se développe pour intégrer l’IA dans les navigateurs internet, et concurrencer la position dominante du désormais classique Google Chrome.

Microsoft a ainsi intégré son outil d’IA Copilot au navigateur Edge.

Les « actions » proposées permettent à Copilot de remplir des formulaires ou de réserver des hôtels, et les « Journeys » permettent à Copilot de retracer les liens entre les onglets ouverts par l’utilisateur.

L’annonce de Microsoft a eu lieu deux jours après un lancement similaire de la part d’OpenAI, qui a présenté son nouveau navigateur Atlas, visuellement très similaire à celui de Microsoft.