Veille Juridique n°85 – juillet 2025. 

 

Respect du RGPD : quels bénéfices économiques ?

Les études menées par l’Association pour la formation professionnelle des adultes (AFPA) et la CNIL confirment aujourd’hui les bénéfices économiques liés à la présence d’un délégué à la protection des données (DPO) au sein des entreprises.

L’enquête statistique menée par l’AFPE en janvier 2024, basée sur plus de 3600 réponses de DPOs, a été complétée par des entretiens approfondis de la CNIL avec dix DPOs proposés par l’Association française des correspondants à la protection des données (AFCDP).

Les résultats de ces analyses présentés par la CNIL fin juillet identifient quatre bénéfices principaux pour les entreprises ayant un DPO : compétitivité, évitement des sanctions, évitement des fuites de données et rationalisation de la gestion de la donnée.

Ces avantages sont perçus par les entreprises quelle que soit leur taille, et en particulier dans les secteurs « Recherche, informatique et conseil » et « Banque, assurance et mutuelles ».

• En matière de compétitivité, le respect du RGPD apparaît ainsi comme un levier pour gagner des appels d’offre, en particulier lorsque ceux-ci sont en lien avec la donnée.

Le DPO apparaît dans ce contexte comme un interlocuteur privilégié pour les acheteurs.

• Si le DPO permet de limiter les risques de sanction, ces bénéfices s’étendent non seulement au montant des amendes mais également aux aspects réputationnels.

Outre l’impact sur les recettes de l’entreprise, les sanctions peuvent également jouer sur la notation financière des entreprises et donc leurs capacités de financement.

• En matière de sécurité, le DPO joue, avec le responsable sécurité des systèmes d’information (RSSI), un rôle central dans la sensibilisation du personnel et la mise en place de politiques internes de protection des données et de gestion des incidents.

La CNIL rappelle à cet égard que le coût moyen d’une violation de données est de 5 millions de dollars, selon une étude IBM de 2024.

• Enfin, la rationalisation de la gestion de données permet d’une part de faire des économies en termes de serveurs, pouvant atteindre plusieurs centaines de milliers d’euros, et d’autre part d’améliorer l’efficacité de la prise de décision.

A ce propos, une étude d’Annual Reviews de 2023, relative aux aspects économiques de la vie privée numérique rappelait également « qu’une quantité excessive de données peut réduire le pouvoir de marché d’une entreprise ».

Le rapport de la CNIL prend en considération la façon dont le responsable de traitement perçoit la réglementation. 

Plus le DPO et l’entreprise sont convaincus de l’intérêt du respect du RGPD et intègrent ses principes aux processus internes, plus les effets positifs se font sentir, contrairement aux entreprises qui perçoivent la mise en conformité comme une contrainte.

Un cercle vertueux motivation/bénéfices se mettrait donc en place quand les principes du règlement sont pris en considération.

L’étude menée en France n’est pas la seule à identifier les intérêts économiques d’une réglementation des données. 

Des aspects complémentaires sont aussi mis en avant, par exemple par le Comité européen de la protection des données (EDPB), qui souligne la confiance que suscite auprès des individus la mise en place d’une politique visible de protection des données, au-delà du contexte des appels d’offre.

L’OCDE publiait aussi en début d’année une analyse concernant les flux internationaux de données, dans laquelle elle indique que « les régimes qui prévoient des mesures de protection établissent un équilibre entre les coûts commerciaux liés à la réglementation des données et les avantages en termes de confiance que procurent les mesures de protection des données. »

Dans un contexte où les vols de données s’intensifient et où le développement de l’intelligence artificielle pose un nombre croissant de questions éthiques, gagner – et garder – la confiance des particuliers représente un atout non négligeable auprès du public.

 

        

Dans une décision du 8 août 2025, le Conseil constitutionnel a déclaré inconstitutionnel le fait, pour la formation restreinte de la CNIL, de ne pas notifier le droit de se taire aux personnes que celle-ci souhaite entendre lors d’auditions ou de demandes d’observations.

Cette décision se base sur le droit de ne pas s’incriminer soi-même résultant de l’article 9 de la Déclaration des droits de l’homme et du citoyen.

Afin de faire cesser cette inconstitutionnalité à compter de la publication de sa décision, le Conseil constitutionnel a décidé que, jusqu’à l’entrée en vigueur d’une nouvelle loi ou jusqu’à la date de l’abrogation des dispositions incriminées, la personne mise en cause devant la formation restreinte devrait se voir notifier son droit de se taire.

Après la décision de la Cour de justice de l’Union européenne (CJUE), le Conseil d’Etat (CE) a publié le 31 juillet sa décision dans l’affaire Mousse, du nom de l’association à l’origine de la plainte contre la SNCF.

Il juge que SNCF Connect « ne peut pas imposer à ses clients de communiquer leur civilité.

Ce traitement de données n’est pas conforme au RGPD qui impose que seules les données personnelles strictement nécessaires soient recueillies. »

Le CE considère que le recueil de la civilité n’est pas indispensable pour la vente des billets ou le contrôle d’identité durant le voyage et doit pouvoir être facultatif, sauf pour certains services, tels que les compartiments couchettes réservés aux femmes seules.

Il annule ainsi la décision de la CNIL du 23 mars 2021, qui va devoir réexaminer la réclamation de l’association Mousse.

Le 6 août 2025, Bouygues Telecom a confirmé avoir subi une intrusion informatique ayant permis à des cybercriminels d’accéder aux données personnelles de plus de six millions de clients.

Les mots de passe et numéros de carte bancaire ne seraient pas concernés, mais les pirates ont accédé à de nombreuses informations dont les noms, coordonnées postales et email, date de naissance, numéro de contrat et IBAN. 

France Travail a également subi une nouvelle fuite de données personnelles mi-juillet concernant 340 000 fichiers de demandeurs d’emploi comprenant données d’identité, adresse, date de naissance et numéro de téléphone. Face à l’augmentation du nombre de violations de données, la CNIL a mis à jour ses conseils aux particuliers.

 

Institutions et organismes européens

La Commission européenne a publié le 7 août son code de bonnes pratiques destiné aux entreprises exploitant des systèmes d’IA à usage général (GPAI).

Ce document a été rédigé en collaboration avec l’industrie et la société civile et vise à faciliter la mise en conformité avec le règlement sur l’IA.

La liste complète des signataires compte 26 entreprises, dont Amazon, Anthropic, Google, Microsoft, Mistral et OpenAI.

xAI, l’entreprise d’Elon Musk, a uniquement signé la partie du code consacrée aux questions de sûreté et de sécurité. xAI devra donc démontrer sa conformité aux obligations du règlement en matière de transparence et de droits d’auteur par des moyens alternatifs adéquats.

Le Danemark ayant récemment pris la présidence du Conseil de l’Union européenne se trouve dans une position privilégiée pour façonner la politique de l’UE au cours des six prochains mois.

Le 4 juillet, un document informel du gouvernement danois mentionnait son intention de proposer une révision ciblée du RGPD et de la directive ePrivacy afin de réduire la charge de conformité pesant sur les entreprises et de garantir leur compétitivité.

La Commission européenne devrait également publier dans les prochains mois un bilan de qualité de la législation numérique de l’UE, ainsi qu’un paquet omnibus numérique.

La révision du RGPD ne semble pourtant pas aller de soi si l’on en croit le résumé du « dialogue de mise en œuvre » organisé par la Commission mi-juillet, et dont les conclusions ont été publiées début août.

Le secteur privé a ainsi indiqué qu’il avait « investi dans la conformité et qu’une réouverture générale pourrait créer une incertitude, notamment dans le contexte des transferts internationaux de données ».

Dans une affaire concernant les transports publics suédois, l’avocat général (AG) de la CJUE a clarifié le 1er août le champ d’application des articles 13 et 14 du RGPD en matière d’information des personnes concernées.

Le cas d’espèce concernait la collecte d’images par les caméras embarquées des contrôleurs.

L’AG considère que l’article 13 s’applique chaque fois que la personne concernée est la source des données (« collectées auprès de la personne concernée »), indépendamment de l’implication de cette dernière dans la collecte des données et à partir du moment où il n’y a aucun intermédiaire entre la personne concernée et le responsable du traitement.

L’article 14 s’applique chaque fois que les données sont collectées auprès d’une source autre que la personne concernée.

Par conséquent, en cas de collecte d’images par des caméras embarquées, l’obligation d’information des personnes concernées doit être immédiate et ne bénéficie pas des exemptions de l’art. 14.

Le 28 juillet, le Contrôleur européen de la protection des données (EDPS) a conclu de façon positive son enquête concernant l’utilisation de Microsoft 365 par la Commission européenne.

Il constate dans un communiqué l’amélioration significative de la conformité en matière de protection des données dans l’utilisation de Microsoft 365 par la Commission et reconnaît et apprécie également « les efforts déployés par Microsoft pour se conformer aux exigences de la Commission découlant de la décision de l’EDPS de mars 2024. »

Le rapport de l’Agence européenne chargée de la cybersécurité (ENISA) publié le 26 juin fournit des orientations techniques pour soutenir la mise en œuvre de la directive NIS2 pour plusieurs types d’entités dans les secteurs des infrastructures numériques NIS2, de la gestion des services TIC et des fournisseurs numériques.

Il dresse un inventaire des normes et cadres européens et internationaux pertinents (ISO 27001, NIST, ETSI, ou encore CEN).

 

Actualité des pays membres de l’Union Européenne.

En Allemagne, le tribunal de Düsseldorf a accordé 200 € de dommages-intérêts immatériels à une personne à la suite d’une violation de données causée par le manquement du responsable du traitement à garantir la suppression dans les délais légaux des données à caractère personnel traitées par son sous-traitant.

En écho à l’affaire Mousse citée supra, le tribunal de Francfort a jugé que la compagnie ferroviaire nationale allemande avait illégalement exigé de ses clients qu’ils fournissent leur adresse électronique ou leur numéro de téléphone portable pour acheter des billets.

Il a estimé que cela n’était pas nécessaire à l’exécution du contrat et que le consentement donné n’était pas sincère et libre.

L’APD croate a infligé une amende de 320 000 € à une entreprise de services publics qui n’avait pas mis en œuvre les mesures de sécurité requises lors de la délivrance de nouveaux mots de passe à ses utilisateurs et pour ne pas avoir coopéré avec elle.

L’APD espagnole a infligé une amende de 96 000 € à une société exploitant des centres sportifs pour avoir mis en place des systèmes de reconnaissance faciale obligatoires pour entrer et sortir des locaux, sans en informer préalablement ses membres ni obtenir leur consentement.

Également en Espagne, l’APD a infligé une amende de 1 380 000 € à un fournisseur d’énergie ayant attribué par erreur un contrat de fourniture de gaz au mauvais client et facturé des frais à ce client, en violation des principes d’exactitude des données et de sécurité du traitement.

La Cour suprême irlandaise a estimé que les demandes d’indemnisation pour préjudice moral lié à la détresse, au bouleversement ou à l’anxiété peuvent relever directement du RGPD, et que les dispositions nationales exigeant l’autorisation d’un organisme indépendant avant de demander des dommages-intérêts pour préjudice corporel ne sont pas applicables.

L’autorité italienne de la concurrence a lancé le 22 juillet une enquête auprès de Meta Platforms au sujet de l’ajout de services d’IA à WhatsApp sans le consentement des utilisateurs.

Pour mémoire, le 23 mai 2025, la Cour régionale supérieure de Cologne avait rejeté une injonction contre Meta concernant l’entraînement par Meta de son IA.

La Cour avait estimé que la combinaison de données anonymisées provenant de Facebook et d’Instagram dans un ensemble de données d’entrainement ne constituait pas une « fusion » illégale de données au sens de l’article 5(2) du règlement sur les marchés numériques (DMA).

L’APD lithuanienne a considéré, dans une affaire impliquant deux voisins, que la collecte ponctuelle de données à caractère personnel à l’aide d’un drone aérien, dans le but de recueillir des preuves pour une procédure judiciaire, relevait de l’exemption domestique prévue par le RGPD.

L’APD indique s’être référée sur ce point aux lignes directrices de l’EDPB de 2020.

En Pologne, la Cour administrative fédérale a donné raison au médiateur et jugé que la législation polonaise exigeant des juges et des procureurs qu’ils divulguent leur affiliation à des organisations religieuses, syndicales et politiques était incompatible avec leurs droits en vertu de la Charte de l’UE et de la Convention européenne des droits de l’homme.

En Pologne également, McDonald’s Polska Sp. z o.o. a été condamnée à une amende de 3 955 000 € pour non-respect des principes généraux en matière de traitement des données, notamment pour avoir pris des mesures inadéquates pour protéger les données à caractère personnel.

 

Au Royaume-Uni, le gouvernement pourrait renoncer, sous pression des Etats-Unis, à son ordonnance visant la fonctionnalité de protection avancée des données d’Apple.

La demande du ministère de l’Intérieur avait été faite en vertu de la loi sur les pouvoirs d’enquête (IPA), qui autorise le gouvernement britannique « à émettre des ordonnances secrètes exigeant des fournisseurs qu’ils contournent le cryptage en insérant des portes dérobées dans leurs produits logiciels ».

Selon Ars Technica, des responsables américains, dont le vice-président JD Vance, font pression sur le Royaume-Uni pour qu’il revienne sur sa décision. « C’est quelque chose qui agace beaucoup le vice-président et qui doit être résolu », aurait déclaré un responsable du département britannique

Wetransfer, utilisé par de nombreux professionnels et particuliers pour le partage de documents, a modifié mi-juillet ses conditions générales : la société avait indiqué qu’à partir du mois d’août elle utiliserait le contenu des données de ses utilisateurs pour entraîner son système d’IA.

Par suite des réactions provoquées par cette information, et aux questions soulevées en termes de confidentialité des données, la société aurait fait marche arrière dans les jours suivants.

L’utilisation de ChatGPT peut entraîner la divulgation de données à l’insu des utilisateurs : c’est ce que révèle une publication du 31 juillet de Digital Digging.

L’enquête fait état de 512 conversations ChatGPT rendues publiques à l’aide de recherches ciblées par mots-clés, révélant des informations compromettantes et des données confidentielles.

Grâce à la fonctionnalité « partager », les utilisateurs rendaient sans le savoir leurs interactions avec ChatGPT publiques et indexables par les moteurs de recherche.

Les conversations partagées concerneraient des cas de délit d’initié, des informations financières détaillées sur des entreprises, des aveux de fraude et des preuves de violations réglementaires, toutes conservées sous forme d’archives publiques consultables en permanence.

En Inde, de l’impact de la géo-politique sur le numérique : l’IAPP relate qu’à la fin du mois de juillet, Nayara Energy, troisième raffinerie d’Inde avec 6 000 stations-service, s’est vu interdire l’accès à ses données par Microsoft sans préavis, alors qu’elle avait intégralement payé ses licences.

Rosneft, une entité russe, détient une participation de 49,13 % dans Nayara Energy. Cette mesure ferait suite aux sanctions imposées à la Russie dans le contexte de la guerre en Ukraine.

Un autre incident concerne le retrait de l’autorisation de service accordée par le Centre national indien de promotion et d’autorisation spatiale à deux satellites de la société Asia Satellite Telecommunications Company après le 31 mars 2026.

Le principal actionnaire d’AsiaSat est une entité détenue par le gouvernement chinois.

Cette décision a des répercussions sur certains des plus grands diffuseurs de divertissement indiens, tels que Zee et Jiostar, qui devront désormais rechercher des alternatives.

Ces événements font écho au blocage par Microsoft, au printemps dernier, du compte de messagerie du procureur général de la Cour pénale internationale (CPI).

Ce blocage était la conséquence directe des mesures prises par le président américain Donald Trump à l’encontre de la Cour de La Haye en février, après qu’un panel de juges de la CPI a émis des mandats d’arrêt contre le Premier ministre israélien Benjamin Netanyahu et son ancien ministre de la Défense Yoav Gallant pour crimes de guerre dans la bande de Gaza.

L’édition d’août du PL&B International Report propose un article de Maria Tzanou, maître de conférences en droit à l’université britannique de Sheffield, et responsable du projet FemTech surveillance.

Elle soulève des questions concernant la surveillance des femmes via les produits et services telles que les applications de suivi de la fertilité et des règles, affirmant qu’il existe « des pratiques de collecte de données problématiques et souvent illégales ».