Veille Juridique n°92 – février 2026. 

 

Le sous-traitant, entre maillon faible et acteur stratégique.

La CNIL a présenté le 9 février son bilan 2025 concernant ses sanctions et mesures correctrices : cookies, surveillance des salariés et sécurité des données sont les principaux sujets des sanctions prononcées en 2025, dont le montant cumulé des amendes représente un montant total de 486 839 500 euros.

Parmi les sanctions, pointons un nombre important de cas mettant en cause des sous-traitants, pour non-respect des obligations concernant les données qui leur sont confiées.

La CNIL rappelle que le sous-traitant doit :

• Traiter les données uniquement sur instruction du responsable de traitement ;
• Mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat ;
• Et supprimer les données à l’issue de la relation contractuelle avec le responsable de traitement.

Le sous-traitant doit aussi aider le responsable dans la mise en œuvre de certaines obligations du règlement : étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits.

Il doit en outre tenir un registre des traitements, et désigner dans certains cas un délégué à la protection des données.

L’article 28 du RGPD, consacré à la mise en place d’un contrat spécifique entre responsable et sous-traitant, précise les dispositions obligatoires devant figurer dans le contrat.

Celui-ci peut être fondé, en tout ou en partie, sur des clauses contractuelles types telles que celles approuvées par la Commission européenne ou l’un des États membres de l’UE.

Il est conseillé de prévoir de façon précise dans ces clauses l’étendue des responsabilités respectives du responsable et du sous-traitant. Ces détails pourront s’avérer utiles en cas de défaillance de l’une des parties.

Rappelons que de nombreuses violations de données récentes, ayant touché le secteur public comme le secteur privé, ont été causées par un défaut de sécurité dans le chef d’un sous-traitant.

En cause, souvent, une défaillance humaine et plus particulièrement le vol d’identifiants d’un employé.

L’authentification double facteur et l’utilisation de mots de passe complexes restent des moyens essentiels de se protéger contre de telles attaques, comme nous nous en faisions l’écho dans un commentaire de la récente sanction « France travail » de la CNIL.

Les sous-traitants ont en effet des obligations spécifiques en matière de sécurité, de confidentialité et de documentation.

Afin de garantir une protection efficace des données, adaptée aux risques, ils doivent mettre en place toute mesure utile dès la conception du service ou du produit et par défaut (« privacy by design & by default »).

Toute violation de données doit en outre être notifiée au responsable de traitement dans les délais prévus par la loi.

Enfin, la suppression des données à la fin du contrat est non seulement une obligation, c’est aussi le meilleur moyen de se prémunir de violations de données une fois la relation contractuelle terminée, comme nous le rappelle la sanction d’un million d’euros infligée fin décembre par la CNIL à la société Mobius Solutions.

La société avait conservé une copie des données de plus de 46 millions d’utilisateurs de la société Deezer après la fin de leur relation contractuelle, malgré son obligation de supprimer l’ensemble de ces données à l’issue du contrat, rendant possible un important vol de données.

 

La CNIL a publié le 2 mars une version mise à jour de ses tables informatique et libertés. 

Ces tables rassemblent et organisent l’essentiel de la jurisprudence et de la pratique décisionnelle en matière de protection des données personnelles au niveau national et européen.

Fin février, un reportage de France 2 alertait au sujet d’une violation de données médicales, et plus précisément du piratage du logiciel « MonLogicielMedical » de Cegedim.

L’attaque a permis à un hacker de collecter les données médicales de 11 à 15 millions de Français, accessibles sur le darknet.

La CNIL avait déjà sanctionné la société en septembre 2024 d’une amende de 800 000 euros, pour avoir notamment traité des données de santé sans autorisation.

Le 18 février 2026, la Direction générale des finances publiques (DGFiP) a signalé dans un communiqué que des accès illégitimes avaient été constatés dans le fichier national des comptes bancaires (FICOBA), à la suite de l’usurpation des identifiants d’un agent habilité.

Le pirate avait mis la main sur les identifiants du compte en amont de la cyberattaque : le ministère de l’Économie n’avait pas mis en place d’authentification à deux facteurs.

Les données concernées portent sur environ 1,2 million de comptes et comprennent notamment l’identité des titulaires, leur adresse, leur banque et leur IBAN.

01net rapporte le bilan effectué par la société Surfshark en matière de fuites de données en France.

« En 2025, 425,7 millions de comptes ont été piratés dans le monde. Le pays le plus touché n’est autre que les États-Unis, avec 34 % des fuites mondiales. En seconde place, on trouve la France, suivie par l’Inde, l’Allemagne et la Russie. En 2025, les internautes français ont subi en moyenne près d’un piratage de compte par seconde. »

La France se distingue également avec « une densité de violations 12 fois supérieure à la moyenne mondiale ». Sont pointés du doigt le manque d’investissements dans la sécurité, que ce soit par les entreprises ou par les entités publiques.

Les courtiers en données, qui ratissent le web pour revendre les données personnelles ainsi engrangées, sont aussi une cible de choix pour les hackers.

 

Institutions et organismes européens

La proposition « Omnibus » de la Commission européenne visant à simplifier le RGPD subit un revers au Conseil de l’UE.

Dans un document daté du 20 février, le Conseil entendrait supprimer la proposition de modification de la définition des données à caractère personnel.

En outre, selon Euractiv, le Conseil souhaite également supprimer la proposition de la Commission visant à étendre ses propres pouvoirs, qui lui permettrait de déterminer ce qui constitue des données suffisamment pseudonymisées.

Le texte de compromis, préparé par la présidence chypriote du Conseil, servira de base aux négociations entre les gouvernements nationaux.

Le Conseil devrait examiner le texte le 27 février.

Le 11 février, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) avaient déjà adopté un avis conjoint attendu sur les aspects liés à la protection des données de cette proposition Omnibus.

Dans leur communiqué de presse, les régulateurs insistent sur le fait que la simplification ne doit pas se faire au détriment de la protection des personnes.

Ils exhortent les colégislateurs à ne pas adopter les modifications proposées à la définition des données à caractère personnel, car elles en réduiraient considérablement la portée et seraient en contradiction avec la jurisprudence de la CJUE.

« Nous devons veiller à ce que toute modification du RGPD et du règlement européen sur la protection des données clarifie réellement les obligations et apporte une sécurité juridique tout en préservant la confiance et un niveau élevé de protection des droits et libertés individuels. »

L’avis conjoint souligne également la nécessité d’un contrôle clair par les autorités de protection des données en ce qui concerne les bannières de cookies et la réutilisation des données du secteur public.

L’EDPB a publié un rapport sur son action coordonnée en matière d’application du droit à l’oubli.

Ce droit est l’un de ceux les plus fréquemment exercés.

Il a donné lieu à de nombreuses plaintes et à un nombre croissant de décisions de la part des autorités de protection des données.

Le rapport met en évidence sept défis majeurs pour les organisations, notamment l’absence de procédures internes. Il formule également des recommandations pratiques pour aider les organisations à relever ces défis.

Le Comité a également publié un rapport sur l’événement organisé le 12 décembre 2025 concernant l’anonymisation et la pseudonymisation.

Le rapport synthétise les retours d’une centaine de participants réunis pour discuter de l’application du RGPD à ces techniques après l’arrêt de la CJUE dans l’affaire EDPS v SRB.

Il met en avant les incertitudes pratiques pour déterminer quand des données restent « identifiables » en fonction des acteurs et contextes, et la question des « moyens raisonnablement susceptibles » d’être utilisés pour réidentifier une personne.

Le document ne fournit pas de lignes directrices définitives, mais identifie les enjeux clés qui orienteront les futures orientations de l’EDPB sur l’anonymisation et la pseudonymisation dans son programme de travail.

L’EDPB a adopté son programme de travail pour 2026-2027.

Il travaillera sur plusieurs modèles visant à faciliter la conformité au RGPD : notifications de violation de données, analyses d’impact relatives à la protection des données, évaluation de l’intérêt légitime, registre des traitements et avis/politique de confidentialité.

La Cour de justice a estimé le 10 février dans l’affaire C-97/23 P | WhatsApp Ireland c. Comité européen de la protection des données que l’action intentée par Whatsapp contre une décision de l’EDPB était recevable.

Le Tribunal de l’Union européenne n’ayant pas encore examiné le fond de l’affaire, la Cour annule l’ordonnance attaquée et renvoie l’affaire devant le Tribunal.

La Cour européenne des droits de l’homme a estimé le 17 février dans l’affaire Green alliance v. Bulgaria – 6580/22 que la réglementation bulgare autorisant l’agence nationale de sécurité à recourir à des « agents infiltrés » violait l’article 8 de la Convention européenne des droits de l’homme, car elle permettait la surveillance secrète d’organisations sans garanties ni contrôles suffisants.

 

Actualité des pays membres de l’Union Européenne.

En Allemagne, selon Heise.de et Table.Media, le Bundestag travaille de façon intensive à une restructuration en profondeur de son architecture numérique. Le parlement souhaite se libérer de l’emprise technologique des entreprises américaines telles que Microsoft afin d’agir de manière plus résiliente et, surtout, indépendamment des pays tiers en temps de crise.

L’autorité de protection des données (APD) autrichienne a infligé une amende de 1 500 € à un responsable du traitement pour avoir illégalement filmé un trottoir public avec une caméra de vidéosurveillance et publié les images d’un voleur présumé sur les réseaux sociaux, enfreignant ainsi les principes de minimisation et de transparence des données, ainsi que les règles régissant le traitement des données judiciaires.

L’APD danoise a adressé une réprimande à 51 municipalités et les a simultanément mises en garde concernant leur utilisation des produits Google dans les écoles primaires et secondaires du premier cycle. Elle a notamment constaté que les municipalités n’avaient pas démontré de manière appropriée qu’elles assuraient un niveau de protection adéquat des données à caractère personnel traitées en dehors de l’UE.

L’APD irlandaise a annoncé le 17 février avoir ouvert une enquête sur la société X d’Elon Musk. L’enquête porte sur la création et la publication, sur la plateforme X, « d’images potentiellement préjudiciables, intimes et/ou à caractère sexuel, sans consentement, contenant ou impliquant le traitement de données à caractère personnel de personnes concernées de l’UE/EEE, y compris des enfants », à l’aide d’une fonctionnalité d’IA générative associée au modèle linguistique Grok. Plusieurs pays ont déjà décidé d’interdire complètement le chatbot IA d’Elon  Musk et la Commission européenne a lancé une enquête le 26 janvier.

Aux Pays-Bas, un tribunal a estimé que l’APD n’avait pas suffisamment justifié son rejet d’une plainte contre un cinéma qui n’acceptait plus les paiements en espèces. Selon le tribunal, l’APD n’avait pas évalué si l’obligation de paiement par carte poursuivait un objectif suffisamment concret et justifié au regard du RGPD.

En Slovakie, la Cour constitutionnelle a invalidé une loi obligeant les ONG à publier les données relatives à leurs contributeurs, estimant qu’elle portait atteinte à la vie privée, à l’autodétermination informationnelle et à la liberté d’association, tout en imposant des charges excessives.

 

L’autorité de protection des données du Royaume-Uni (ICO) a infligé une amende de 14,47 millions de livres sterling (environ 16,6 millions d’euros) à Reddit pour non-respect de ses obligations en matière de confidentialité des données des enfants.

L’ICO estime que le contrôle de l’âge effectué par Reddit est insuffisant et que la plateforme « ne disposait donc pas d’une base légale pour traiter les informations personnelles d’enfants de moins de 13 ans ».

En outre, Reddit « n’a pas procédé à une analyse d’impact relative à la protection des données (AIPD) afin d’évaluer et d’atténuer les risques pour les enfants avant janvier 2025 ».

L’ICO a également annoncé le 5 février une amende de 247 590 £ à l’encontre de MediaLab.AI, Inc., la société à l’origine de la plateforme de partage d’images Imgur.

MediaLab a permis aux enfants d’utiliser Imgur sans mettre en place les mesures de protection élémentaires requises par la législation britannique en matière de protection des données.

L’Inde a décidé en février 2026 d’étendre l’utilisation d’Aadhaar, le plus grand système d’identité numérique au monde, à la vie privée quotidienne grâce à une nouvelle application et à un système de vérification hors ligne.

Les changements devraient permettre aux individus de prouver leur identité sans vérification en temps réel dans la base de données, en intégrant des services de vérification privés tels que Google Wallet et Apple Wallet.

Une campagne de la société civile soutient que le système de vérification hors ligne risque de réintroduire une utilisation d’Aadhaar par le secteur privé déjà condamnée par la Cour suprême. 

Le système permet par ailleurs « aux États indiens et à la police de rattacher au numéro Aadhaar toutes sortes d’informations personnelles : coordonnées GPS, numéros de téléphone, réseaux sociaux, carte d’électeur, passeport, prêts, prestations sociales, parfois même le nom des proches, voire le nom des concubins et concubines sur certains formulaires de police. »

Selon une publication de CNBC datée du 19 février, la société Accenture lierait les promotions de ses cadres supérieurs à l’utilisation régulière de ses outils d’IA.

Les directeurs associés et les cadres supérieurs auraient été informés que l’« utilisation régulière » de l’IA serait nécessaire pour accéder à des postes de direction.

La stratégie de l’entreprise en matière d’IA « nécessite l’adoption des derniers outils et technologies afin de servir nos clients de la manière la plus efficace possible », a déclaré un porte-parole à CNBC.

Le 11 février 2026, le procureur général de Californie, a annoncé un accord record de 2,75 millions de dollars avec la Walt Disney Company afin de résoudre les allégations selon lesquelles la société n’aurait pas suffisamment respecté l’opposition des consommateurs au traitement de leurs données, en vertu de la loi californienne sur la protection de la vie privée des consommateurs.

Dans un article du 13 février, le New York Times indique que Meta, la société mère de Facebook, prévoit d’ajouter dès cette année une fonctionnalité de reconnaissance faciale à ses lunettes intelligentes, qu’elle fabrique en collaboration avec le propriétaire de Ray-Ban et Oakleys.

Cette fonctionnalité, appelée en interne « Name Tag », permettrait aux utilisateurs de lunettes intelligentes d’identifier des personnes et d’obtenir des informations à leur sujet via l’assistant d’intelligence artificielle de Meta. Dans une note interne publiée l’année dernière, Meta aurait déclaré que les troubles politiques aux États-Unis détourneraient l’attention des détracteurs de la sortie de cette fonctionnalité.

Le 23 février 2026, une déclaration commune sur les images générées par l’IA a été publiée par 61 autorités chargées de la protection des données.

Cette déclaration commune aborde les préoccupations relatives aux systèmes d’IA capables de générer des images et des vidéos réalistes représentant des personnes identifiables à leur insu et sans leur consentement.

Le 19 février 2026, l’Organisation de coopération et de développement économiques (OCDE) a publié de nouvelles lignes directrices visant à aider les organisations à mettre en œuvre les Principes directeurs de l’OCDE à l’intention des entreprises multinationales et les Principes de l’OCDE relatifs à l’IA.

Ces Lignes directrices entendent aider les organisations à gérer les risques liés à l’IA et à respecter les normes internationales en matière de conduite responsable des entreprises.

Le développement des agents d’IA, s’il est sensé faciliter de nombreuses tâches administratives, pose aussi de sérieuses questions de sécurité.

OpenClaw, le dernier en date, est un projet open source qui s’articule autour d’un agent IA autonome capable de piloter un ordinateur à la place de l’utilisateur.

Récemment racheté par OpenAI, OpenClaw est aujourd’hui la cible de graves attaques de sécurité.

Plus de 30 000 instances OpenClaw ont été compromises par des cybercriminels en l’espace de quelques semaines, de faux scripts ayant permis l’installation de virus et malwares capables d’enregistrer tout ce qui est tapé sur le clavier sur les ordinateurs sous Windows. 

« De plus en plus de responsables de startups interdisent l’agent autonome sur les appareils professionnels, craignant des fuites de données confidentielles. Les experts sécurité alertent massivement sur le manque d’audit, de recul, de véritables garde fous et de transparence autour de l’IA, alors que de plus en plus d’employés l’intègrent déjà à leurs tâches quotidiennes dans une quête de productivité. »

Ces avertissements ont été relayés le 12 février par l’APD néerlandaise met en garde les utilisateurs et les organisations contre l’utilisation d’OpenClaw et de systèmes expérimentaux similaires en raison de failles de sécurité critiques.

L’Association internationale des professionnels de la vie privée (IAPP) a publié le 5 février une version mise à jour de son répertoire mondial des lois sur la protection de la vie privée et des autorités chargées de la protection des données.

L’IAPP note que les régimes de protection des données continuent de se développer et de mûrir dans le monde entier. « Au cours des 12 derniers mois, l’Inde a introduit de nouvelles règles d’application pour mettre en vigueur la loi sur la protection des données personnelles numériques, le Bangladesh et la Gambie ont adopté ou envisagent d’adopter de nouvelles lois exhaustives, et d’autres pays, dont l’Équateur et l’Indonésie, ont créé de nouvelles agences chargées d’interpréter et d’appliquer les lois existantes en matière de protection de la vie privée. »