El. laiškų sekimo pikseliai: CNIL paaiškina teisinę sistemą
Veille Juridique n°94 – Avril 2026.
El. laiškų sekimo pikseliai: CNIL paaiškina teisinę sistemą
La CNIL a publié le 14 avril ses recommandations sur les pixels de suivi dans les courriels. La recommandation s’adresse à tous les organismes privés ou publics qui utilisent des pixels de suivi ainsi qu’aux prestataires techniques auxquels ils peuvent avoir recours.
Le pixel de suivi est en pratique une image, souvent de très petite taille, qui va s’afficher dans le contenu du courriel via un lien hypertexte.
L’inclusion du pixel constitue une instruction donnée au terminal de l’utilisateur de renvoyer des informations ciblées (identifiant du pixel, adresse IP, etc.) aux acteurs qui le déposent.
Le pixel permet à l’émetteur du message de constater s’il a ou non été ouvert, et d’ajuster sa communication en conséquence, concernant par exemple la fréquence des envois, le contenu des messages ou la mise à jour de la liste de prospects.
La CNIL rappelle qu’une telle pratique nécessite le consentement préalable des destinataires de courriels en vertu de l’article 5 de la directive ePrivacy, transposé à l’article 82 de la loi Informatique et Libertés.
Elle admet toutefois une exception pour les courriels « transactionnels » rattachés à un service demandé par le destinataire, afin par exemple d’identifier les destinataires qui n’ouvrent plus leurs courriels et de les retirer des listes d’envoi.
L’exception s’applique aussi aux courriels concernant des alertes de compte, des notifications liées à des événements comme l’expédition d’un colis, des confirmations de commande et factures d’achat, rappels et réinitialisation de mot de passe, alertes de sécurité et notification de violation, etc.
En dehors de ces exceptions, pour toute adresse collectée à partir du 14 avril, date de la recommandation de la CNIL, le responsable de traitement devra ainsi obtenir le consentement préalable des destinataires avant d’intégrer au courriel un pixel de suivi.
Ce consentement pourra par exemple être obtenu au moment de la collecte de l’adresse ou via un lien intégré dans un courriel sans pixel de suivi.
Pour les adresses collectées avant cette date, il est demandé aux acteurs, dans un délai de trois mois, d’informer clairement les destinataires afin qu’ils puissent s’y opposer.
Cette publication suscite des réactions car elle oblige un très grand nombre de responsables à prendre rapidement des mesures de mise en conformité.
L’autorité de contrôle est-elle plus stricte ou plus laxiste que ses homologues européens sur ce sujet ?
Elle semble aujourd’hui être une des seules à indiquer clairement dans quel contexte elle sanctionnera les pixels de suivi.
Pourtant ce type de traitement est pointé depuis des années par le Comité européen de protection des données (EDPB), et avant lui par son prédécesseur le G29 (voyez notamment les lignes directrices WP118 et 2/2023).
La position européenne est d’ailleurs plus stricte que celle de la CNIL puisqu’elle mentionne une interdiction totale des pixels de suivi à défaut de consentement du destinataire du message.
Les contributions reçues dans le cadre de sa consultation publique sur le projet de recommandation semblent avoir conduit la CNIL à ménager la chèvre et le chou : elle a ainsi fait évoluer sa position vers plus de souplesse concernant les courriels rattachés à un service demandé par le destinataire.
Il reste que la mise en œuvre de cette position risque de s’avérer complexe.
Des précisions sur la portée de l’exemption seraient bienvenues afin de mieux identifier les services qui en bénéficient, tels que les lettres d’information ou autres abonnements souscrits par les destinataires, pour lesquels une interrogation subsiste. La CNIL indique qu’elle accompagnera les responsables de traitement, notamment à travers des webinaires. Les missions de contrôle et l’imposition de sanctions ne devraient intervenir que dans un deuxième temps, sans que la Commission donne plus de détails aujourd’hui.

La CNIL publie un modèle de document destiné à faciliter la tâche des DPOs dans la rédaction d’un rapport de leurs activités. Si un tel rapport n’est pas obligatoire en vertu du RGPD, la CNIL le considère comme une bonne pratique utile au pilotage de la conformité et à la communication du DPO.
Le 28 avril, la CNIL a également approuvé le code de conduite porté par l’Alliance du Commerce, destiné à aider concrètement les commerçants français du secteur de l’habillement et de la chaussure à respecter les exigences du RGPD.
Le guide vise à renforcer la protection des données dans la vente et la distribution, aussi bien en magasin qu’en ligne.
Il s’agit du premier code de portée nationale et du troisième code sectoriel approuvé par la CNIL, après les codes européens CISPE (2021) dédié à l’informatique en nuage et EUCROF (2024) relatif aux essais cliniques en santé. Une quinzaine de codes a été mise en place en Europe, accessibles via cette infographie.
Le gouvernement a choisi, dans son arrêté du 24 avril 2026, de définir les modalités techniques du Fichier National Comptes Fraude (FNC-RF) visant à renforcer la lutte contre la fraude bancaire, en s’affranchissant des recommandations de la CNIL en matière de sécurité.
Ce fichier, partagé via la Banque de France entre établissements financiers, contient les numéros IBAN des comptes suspectés de fraude.
L’architecture validée par le gouvernement présente selon la CNIL une exposition maximale aux risques, via un partage de copies intégrales et synchronisées des données en clair avec les prestataires de services de paiement et leurs sous-traitants.
La DGSI a publié le 17 avril une note mettant en garde contre les risques associés à l’utilisation d’applications et de solutions étrangères dans l’environnement professionnel. « Outre une exposition accrue au risque cyber, ces outils, souvent développés par des entreprises extra-européennes, peuvent comporter des risques juridiques, de sécurité, de confidentialité, de dépendance ou encore d’interruption de service. »
La note présente différents cas qui doivent inciter l’ensemble des utilisateurs à la prudence dans les informations partagées et les accès accordés.
Le Conseil d’État a publié le 30 avril sa décision sur le principe de riposte graduée de l’ARCOM, héritier d’Hadopi, et annulé plusieurs volets du décret du 5 mars 2010 sur la base d’une atteinte à la protection de la vie privée. Le dispositif avait pour objectif de lutter contre le piratage de musiques et de films sur les réseaux P2P. Saisi par quatre associations de défense des libertés numériques, le Conseil d’État tire les conséquences de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 30 avril 2024, qui précise que le recoupement répété entre identité et œuvres téléchargées ne peut se faire sans un contrôle indépendant.
La décision d’Anthropic de ne pas rendre public Mythos, son dernier modèle d’intelligence artificielle (IA) en raison de sa dangerosité en matière de sécurité informatique a suscité de nombreuses réactions.
Mythos est en effet capable d’identifier très efficacement des vulnérabilités de code informatique.
Dans une note publiée jeudi 23 avril, le Conseil de l’intelligence artificielle et du numérique (CIANum) appelle à « ne pas céder à la panique ambiante » et formule plusieurs remarques :
« S’emparer de l’IA pour se mettre en conformité : les acteurs, publics comme privés, qui ne feront pas l’effort permanent de comprendre et d’intégrer ces nouveaux usages seront rapidement déclassés.
Conserver l’humain dans la boucle aux étapes clés : si l’IA constitue une aide précieuse pour développer, corriger et tester les logiciels, se passer dès maintenant et totalement de l’expertise humaine semble la garantie d’échecs.
Anticiper les nouvelles vulnérabilités et le déploiement de correctifs en conséquence présente un défi de taille, alors que beaucoup d’acteurs sont aujourd’hui déjà saturés. »
Le Comité consultatif national d’éthique pour les sciences de la vie et de la santé (CCNE) et le Comité consultatif national d’éthique du numérique (CCNEN) ont publié le 7 avril un avis commun consacré aux neuro-technologies numériques et aux interfaces cerveau-machine.
L’avis souligne que le développement de ces technologies « soulève des enjeux d’éthique majeurs, notamment en matière de dignité, d’autonomie, de liberté de pensée, de protection de la vie privée et d’équité.
Des questions spécifiques concernent l’utilisation des données neurales, les usages non médicaux, les effets potentiels sur l’identité et les comportements, ainsi que la protection des enfants et adolescents. »
Les comités formulent un ensemble de recommandations qui appellent à une vigilance particulière à l’égard des usages des neuro-technologies numériques.
Europos institucijos ir įstaigos
Le 7 mai, après une première tentative infructueuse, les législateurs européens sont parvenus à un accord sur « l’Omnibus IA », visant à modifier et à simplifier le règlement européen sur l’IA.
Les entreprises auront jusqu’à fin 2027 pour se conformer aux règles relatives à l’IA à haut risque, alors que les fournisseurs de machines alimentées par l’IA seront explicitement exemptés de certaines obligations.
Parallèlement, l’Omnibus introduit une nouvelle interdiction concernant les pratiques d’IA liées à la génération de contenus sexuels et intimes non consentis ou de matériel pédopornographique.
Le processus d’approbation formel est en route, l’objectif étant de publier les modifications finales d’ici le mois d’août.
Dans un contexte où un nombre croissant de pays entend limiter l’accès des mineurs aux réseaux sociaux, la Commission européenne a adopté le 29 avril une recommandation incitant les États membres à accélérer le déploiement de l’application européenne de vérification de l’âge et à la rendre disponible d’ici la fin de l’année.
La Commission a élaboré un plan directeur pour cette application présentée comme respectueuse de la vie privée, qui permet aux utilisateurs de prouver qu’ils ont l’âge requis sans révéler leur âge exact, leur identité ou toute autre information personnelle.
Un consultant en cybersécurité aurait toutefois identifié des failles de sécurité risquant de mettre à mal le déploiement de l’application au niveau national.
Le 29 avril, la Commission européenne a conclu, à titre préliminaire, que les plateformes Instagram et Facebook de Meta enfreignaient le règlement sur les services numériques (DSA) car ils ne parviennent pas à identifier, évaluer et atténuer de manière diligente les risques liés à l’accès de mineurs de moins de 13 ans à leurs services.
Lors de sa réunion plénière du 22 avril, l’EDPB a adopté des lignes directrices relatives au traitement de données à caractère personnel à des fins de recherche scientifique.
Le Comité a également mis en place un groupe de travail chargée d’accélérer la finalisation des lignes directrices sur l’anonymisation.
Il a en outre adopté deux avis sur deux séries de critères de certification Europrivacy en vue de leur homologation en tant que labels européens de protection des données, dont l’un est destiné à servir d’outil pour les transferts.
Lors de sa plénière précédente, l’EDPB a publié un autre document important : afin de faciliter la mise en conformité des organisations avec le RGPD et de renforcer la cohérence à l’échelle européenne, il a élaboré un modèle d’analyse d’impact relative à la protection des données (AIPD). Ce document est ouvert aux commentaires jusqu’au 9 juin.
La CJUE a estimé le 21 avril qu’en adoptant une loi qui stigmatise et marginalise les personnes LGBTI+, la Hongrie a enfreint le droit de l’Union européenne.
La Cour pointe également le fait que le titre de la loi assimile ces personnes à celles qui ont été condamnées pour pédophilie, « une assimilation de nature à accroître la stigmatisation des premières et à encourager des comportements haineux à leur égard. »
Enfin, la Cour précise que cette loi enfreint le RGPD dans la mesure où elle a modifié la loi sur le casier judiciaire afin d’élargir l’accès aux informations concernant les personnes condamnées pour pédophilie.
Bien qu’un tel accès puisse être licite dans certaines circonstances, la Cour estime que « la loi ne fournit pas de définition suffisamment précise ni des personnes autorisées à accéder aux données, ni des conditions d’accès nécessaires pour offrir des garanties appropriées aux droits et libertés des personnes dont les données sont concernées. »
Naujienos iš Europos Sąjungos šalių narių.
En Belgique, l’autorité de protection des données (APD) a mis en garde deux personnes afin qu’elles veillent à ce que leur caméra de surveillance ne filme plus les voies publiques.
La caméra avait été installée en tant qu’instrument de dissuasion contre les crevaisons de pneus.
L’APD a constaté que le fait de filmer la voie publique était illégal en vertu de la loi sur les caméras de surveillance, et a souligné que les images enregistrées portaient atteinte au droit à la vie privée et au droit à la protection des données du plaignant et de sa famille en raison du traitement fréquent de leurs données à caractère personnel résultant de l’emplacement de la caméra.
L’APD espagnole a infligé une amende de 200 000 € à une entreprise de services de transport pour avoir obligé ses employés à utiliser quatre applications de suivi sur leurs téléphones personnels à des fins professionnelles.
L’APD a aussi condamné une université à 160 000 € d’amende pour ne pas avoir obtenu le consentement valable des étudiants afin de vérifier leur identité lors d’examens en ligne via un système utilisant la reconnaissance faciale.
L’APD italienne a infligé une sanction de 6 624 000 euros à Poste Italiane S.p.A. et de 5 877 000 euros à Postepay S.p.A., pour avoir traité illégalement les données personnelles de millions d’utilisateurs.
Les applications BancoPosta et Postepay prévoyaient, comme condition obligatoire pour l’utilisation des services, la délivrance par les utilisateurs d’une autorisation de surveillance d’un ensemble de données contenues dans les appareils mobiles, afin de détecter tout logiciel malveillant.
L’APD a constaté que l’étendue de la surveillance était excessive au regard des fins de prévention de la fraude, et a également pointé des lacunes dans les informations fournies aux utilisateurs, l’absence d’analyse d’impact (AIPD), l’absence de mesures de sécurité et de politique de conservation des données appropriées, ainsi que des irrégularités dans la désignation du responsable du traitement.
Le ministre néerlandais de l’Économie numérique et de la Souveraineté travaille à la mise en place d’un « kit d’urgence numérique » destiné à aider les administrations publiques et les citoyens à se débrouiller seuls en cas de catastrophe numérique, telle qu’une coupure nationale d’Internet.
Le pays serait en effet encore dangereusement dépendant des entreprises technologiques américaines pour ses infrastructures essentielles, de l’hébergement dans le cloud aux systèmes fiscaux.
Le gouvernement souhaite que les citoyens puissent subvenir à leurs besoins de manière autonome pendant 72 heures sans Internet, sans téléphone et sans moyens de paiement numériques.
Le gouvernement britannique a confirmé le 23 avril que les informations médicales de 500 000 participants à l’un des programmes scientifiques phares du Royaume-Uni, la UK Biobank, ont été mises en vente en ligne sur le site Web Alibaba. Si les informations compromises ne comprennent pas de noms, adresses, coordonnées ou numéros de téléphone, elles peuvent inclure le sexe, l’âge, le mois et l’année de naissance, le statut socio-économique, les habitudes de vie et des mesures d’échantillons biologiques. Il n’y a pas eu de cyberattaque, mais un téléchargement massif de données par une organisation légitimement accréditée. La banque de données est en effet accessible aux chercheurs. La direction de la Biobank a indiqué avoir mis en place depuis l’incident des mesures limitant la taille des fichiers téléchargés ainsi qu’une surveillance des exportations de fichiers suspectes.
Le gouvernement britannique a confirmé le 23 avril que les informations médicales de 500 000 participants à l’un des programmes scientifiques phares du Royaume-Uni, la UK Biobank, ont été mises en vente en ligne sur le site Web Alibaba. Si les informations compromises ne comprennent pas de noms, adresses, coordonnées ou numéros de téléphone, elles peuvent inclure le sexe, l’âge, le mois et l’année de naissance, le statut socio-économique, les habitudes de vie et des mesures d’échantillons biologiques.
Il n’y a pas eu de cyberattaque, mais un téléchargement massif de données par une organisation légitimement accréditée. La banque de données est en effet accessible aux chercheurs.
La direction de la Biobank a indiqué avoir mis en place depuis l’incident des mesures limitant la taille des fichiers téléchargés ainsi qu’une surveillance des exportations de fichiers suspectes.
Le 21 avril, la Consumer Federation of America (CFA) a intenté un recours collectif contre Meta, alléguant que l’entreprise ne protégeait pas ses utilisateurs contre les publicités frauduleuses sur Facebook et Instagram contrairement à ses engagements, et qu’elle tirait profit de ces publicités aux dépens de ses utilisateurs.
La CFA cherche à obtenir des dommages-intérêts, la restitution des profits illicites et des mesures injonctives au profit des consommateurs de Washington D.C.
On observe une dynamique mondiale en faveur de la souveraineté numérique, du Canada à l’Union européenne en passant par la côte Pacifique, thème qui était au cœur du récent Sommet mondial 2026 de l’IAPP à Washington, D.C. « Lors de plusieurs ateliers, les intervenants ont cherché à clarifier et à nuancer le débat sur la souveraineté numérique, tout en donnant leur avis sur la manière dont le contexte géopolitique actuel façonnera ce débat dans les années à venir. »
01.net détaille les derniers projets d’Anthropic en matière d’IA.
La société a publié le 14 avril une page dédiée à la vérification d’identité pour son LLM Claude. Certaines fonctionnalités, actions de sécurité ou « contrôles d’intégrité plateforme » déclenchent désormais une demande de pièce d’identité officielle et de selfie en direct.
Cette annonce tombe quelques semaines après une fuite indiquant qu’Anthropic détecte les jurons, insultes et tournures de frustration dans les messages, et les enregistre comme signaux de sentiment négatif des utilisateurs. « Combinée à la nouvelle exigence de passeport et de selfie, l’image donne le vertige. Anthropic sait ce que vous dites quand vous râlez. »
Samedi 19 avril, Palantir a publié sur X un résumé en 22 points de The Technological Republic, sorte de profession de foi géopolitique de cette société dont le cœur de métier consiste à fournir des logiciels de surveillance et d’analyse de données aux armées, aux services de renseignement et aux agences d’immigration occidentales (dont la France).
Selon ce manifeste, la survie des démocraties libérales repose désormais sur la puissance logicielle, le “désarmement” de l’Allemagne et du Japon après 1945 était une erreur historique, l’ère de la dissuasion nucléaire touche à sa fin, et une nouvelle dissuasion fondée sur l’intelligence artificielle doit la remplacer.
La chercheuse Chiara Gallese rapporte une faille concernant un agent d’IA opéré par la société Meta.
Cet agent aurait agi sans instruction humaine, divulguant des données sensibles de l’entreprise et des utilisateurs à des employés non autorisés.
Meta aurait qualifié cet incident de « Sev 1 », soit le deuxième niveau de gravité le plus élevé en matière de sécurité. La chercheuse souligne que, d’un côté, certains agents IA de Meta ignorent les consignes de supervision humaine, alors que parallèlement, Meta acquiert des plateformes permettant aux agents IA de communiquer entre eux (Moltbook).
Les risques persisteront tant que la supervision humaine ne deviendra pas une exigence architecturale stricte des systèmes d’IA agentiques : aujourd’hui, la vérification humaine est traitée comme une préférence et non comme une contrainte des systèmes d’IA autonomes.
L’Australian Signals Directorate / ACSC, avec plusieurs partenaires internationaux dont la NSA, a recommandé à ce propos dans une publication du 1er mai une adoption prudente des services d’IA agentique.
Le document souligne que dans les infrastructures critiques, l’autonomie des agents accroît les risques d’erreur, d’escalade non prévue et de compromission de chaînes d’action.
La recommandation centrale est de limiter l’autonomie, journaliser les actions, contrôler les accès et définir des garde-fous avant tout déploiement opérationnel d’une IA agentique.

