Veille Juridique n°84 – juin 2025. 

Rozšírené kamery: CNIL stanovuje nové pravidlá.

Le 11 juillet, la CNIL a considéré que l’utilisation de caméras « augmentées » pour estimer l’âge des clients dans les magasins de tabac afin de contrôler la vente de produits interdits aux mineurs n’est ni nécessaire ni proportionnée.

Ces caméras sont présentées comme un outil d’aide à la décision. Elles s’appuient sur un algorithme d’intelligence artificielle, activé par défaut, qui scanne le visage de toutes les personnes se situant dans leur champ de vision pour estimer si celles-ci sont mineures ou majeures.

La CNIL constate que la caméra « augmentée » ne procédant qu’à une estimation, le respect de leurs obligations par les buralistes suppose que ceux-ci demandent systématiquement à leurs clients une preuve de majorité. « En conséquence, l’analyse préalable du visage des personnes par une caméra pour estimer leur âge n’apparaît pas nécessaire : elle ne ferait que s’ajouter au contrôle requis par la loi. »

La CNIL pointe un usage disproportionné au regard de l’objectif visé, qui conduit à filmer toutes les personnes, mêmes celles qui sont manifestement majeures, et empêche les personnes d’exercer leur droit d’opposition.

Elle considère aussi que le déploiement des caméras dans des lieux de vie comme des bureaux de tabac contribue à un risque de banalisation et d’habituation à une forme de surveillance renforcée par la multiplication de tels outils.

L’autorité de contrôle n’en est pas à sa première position sur le sujet. Elle s’est encore attirée fin mai les foudres du maire de Nice en interdisant le déploiement de caméras augmentées devant les écoles de la ville, soulignant la collecte de données personnelles et rappelant la nécessité de réduire la surveillance des personnes sur la voie publique au strict minimum.

Dans certains contextes pourtant, l’utilisation de caméras augmentées trouve grâce aux yeux de la CNIL : elle a ainsi considéré que le déploiement de ces caméras pour les caisses automatiques des supermarchés pouvait constituer un intérêt légitime dans un objectif de limiter les pertes de revenus causées par des erreurs ou des vols aux caisses, mais à certaines conditions : que le système soit nécessaire à l’objectif poursuivi et qu’il ne porte pas atteinte de manière disproportionnée aux droits des personne et qu’il ne puisse être atteint de manière moins intrusive.

Des mesures de minimisation des données doivent être mises en place, telles que la limitation du périmètre de capture aux caisses en libre-service, la durée de capture, sa résolution et sa fréquence. En outre, les utilisateurs doivent être informés du dispositif et pouvoir utiliser une alternative sans caméras.

La CNIL entend de la sorte encadrer l’utilisation de ces systèmes en assurant leur nécessité et leur proportionnalité au cas par cas. Elle recommande également d’appliquer le principe de vie privée dès la conception (« privacy by design »).

Rappelons que le cadre réglementaire de la vidéosurveillance algorithmique est un sujet en évolution, soumis à un cadre réglementaire complexe.

Ce cadre diffère de celui des caméras biométriques, qui traitent systématiquement des données relatives aux caractéristiques physiques des personnes, dans le but de les identifier ou de les authentifier de manière unique.

Ces traitements, portant sur des données sensibles, sont interdits sauf exception.

En ce qui concerne les caméras « augmentées », il n’existe pas actuellement de texte spécifique à l’exception du cadre expérimental prévu par la loi sur les Jeux olympiques et paralympiques du 19 mai 2023.

La CNIL rappelle que « les dispositifs susceptibles d’affecter les garanties fondamentales apportées aux citoyens pour l’exercice des libertés publiques ne pourront être déployés que si une loi les autorise et les encadre spécifiquement ».

Pour les autres dispositifs, des garanties fortes doivent être mises en place.

La période d’expérimentation de la loi sur les JO a récemment été prolongée jusqu’en 2027, malgré un bilan présenté comme controversé.

Cette loi autorise le recours à titre expérimental aux dispositifs de caméras augmentées pour assurer la sécurité de certains grands évènements sportifs, récréatifs et culturels, dans des conditions très précises : seuls les événements précisés par la loi peuvent être soumis à détection, et aucune reconnaissance faciale ne peut être effectuée.

D’un point de vue plus politique, la CNIL en appelle à la puissance publique pour qu’elle trace une ligne entre ce qui devrait ou non être permis dans une société démocratique : tout ce qui est techniquement faisable n’est en effet pas forcément souhaitable d’un point de vue éthique et social.

 

 

Dans un contexte de sensibilisation accrue à la lutte contre les discriminations, la CNIL publie une recommandation sur la mesure de la diversité sur le lieu de travail.

Elle souligne qu’une telle mesure est un exercice délicat qui implique que les employeurs respectent strictement la décision du Conseil constitutionnel du 15 novembre 2007 régulièrement interprétée, à tort, comme une interdiction absolue des statistiques liées aux origine.

La commission souligne en particulier que les enquêtes doivent rester facultatives et les salariés ou agents doivent être correctement informés et leurs droits respectés.

Elle recommande également de privilégier les enquêtes anonymes et de limiter les données collectées via des questions fermées.

La CNIL a également publié deux FAQs sur l’utilisation de l’IA dans les établissements scolaires, et un manga destiné à sensibiliser les jeunes à la protection de leurs données personnelles.

Elle a également publié des recommandations sur les outils de mesure d’audience sur internet et un outil d’auto-évaluation permettant d’évaluer leur conformité avec le cadre légal.

Elle a publié des recommandations sur le développement des systèmes d’IA, qui précisent les conditions pour recourir à l’intérêt légitime, notamment en cas de moissonnage de données (web scraping), et a ouvert le 12 juin une consultation publique sur son projet de recommandation concernant l’utilisation des pixels de suivi dans les courriels.

L’objectif est d’aider les acteurs qui recourent à ces traceurs à mieux comprendre leurs obligations, notamment en matière de recueil du consentement des utilisateurs.

Selon une publication du 30 juin du média spécialisé en cybersécurité Cybernews, 16 milliards d’identifiants et de mots de passe dérobés sont actuellement accessibles en ligne.

Parmi les informations compromises, on trouve des identifiants, comme des noms d’utilisateur et des adresses e-mail, ainsi que des mots de passe.

Les répertoires comptent aussi des jetons d’accès, des cookies de connexion et des métadonnées.

 Il ne s’agirait pas d’une nouvelle fuite de données mais de l’agglomération de différentes fuites de données passées, ce qui peut accentuer les risques d’usurpation de données en facilitant le travail des acteurs malveillants.

Google risque une amende record de 525 millions d’euros pour sa gestion des cookies et de la publicité dans les boîtes de réception Gmail.

Dans son projet de décision, la CNIL accuse Google d’avoir enfreint les principes qui mettent en œuvre la directive européenne « vie privée et communications électroniques », en n’obtenant pas le consentement des utilisateurs pour le téléchargement de cookies lors de la création d’un compte Gmail et pour l’affichage, dans les boîtes de réception Gmail, de publicités qui semblent être des courriers électroniques.

Si l’amende est confirmée par la commission restreinte de la CNIL, il s’agira de l’amende la plus élevée de l’histoire de la CNIL et de l’amende la plus élevée pour une violation de la directive « vie privée et communications électroniques ». La décision finale sera annoncée dans quelques semaines.

La non-conformité au RGPD est un motif de résolution de contrat, en particulier dans le domaine de la prestation de services de développement de communication numérique : dans le prolongement de précédentes décisions, dans son arrêt du 11 juin 2025 la Cour d’Appel de Bordeaux a retenu la présence d’un dispositif de protection reCAPTCHA associé à plusieurs cookies déposés sans le consentement de l’utilisateur final.

Compte tenu de la persistance des manquements contractuels du prestataire, le client est fondé à solliciter la résolution du contrat en application des articles 1610, 1217 et 1224 du code civil.

 

Európske inštitúcie a orgány

L’agenda de la mise en œuvre du règlement européen sur l’IA a été publié mi-juin.

Après les rumeurs faisant état d’un possible délai de grâce, la Commission a clarifié que le texte s’appliquerait conformément aux délais prévus.

Le règlement s’applique aux systèmes d’IA en fonction des risques qu’ils présentent, et régit les modèles d’IA à usage général (GPAI) en fonction de leurs capacités.

Les règles concernant les GPAI entreront en vigueur le 2 août 2026, pour les systèmes existants, l’application débutera le 2 août 2027.

Ajoutons que le Code de bonnes pratiques de l’IA à usage général a été publié ce 10 juillet.

Celui-ci comprend 3 chapitres.

Les chapitres consacrés à la transparence et au droit d’auteur offrent à tous les fournisseurs de modèles d’IA à usage général un moyen de démontrer qu’ils respectent les obligations qui leur incombent en vertu de l’article 53 de la loi sur l’IA.

Le chapitre consacré à la sûreté et à la sécurité ne concerne qu’un petit nombre de fournisseurs de modèles très avancés, soumis aux obligations prévues pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique en vertu de l’article 55 de la loi sur l’IA.

La proposition de la Commission européenne relative à un « omnibus numérique » est actuellement attendue pour le 10 décembre, selon un document interne consulté par MLex.

Elle fera partie d’un ensemble comprenant le règlement sur les réseaux numériques, la révision du règlement sur la cybersécurité et le portefeuille électronique européen.

La réglementation concernant le développement du cloud et de l’IA est provisoirement prévue pour la semaine suivante.

Les institutions européennes ont adopté fin juin une position commune sur les règles de procédure supplémentaires relatives à la mise en œuvre du RGPD. Le texte doit à présent être approuvé formellement par un vote du Parlement européen.

Lors d’une réunion de deux jours à Helsinki les 1er et 2 juillet, le Comité européen de la protection des données (EDPB) a déclaré qu’il aiderait les organisations à mieux comprendre leurs obligations au titre du RGPD en publiant des lignes directrices simplifiées. Dans son communiqué, la présidente du comité indiquait que « grâce à des lignes directrices concises et opportunes et à des outils prêts à l’emploi, tels qu’un modèle commun de notification des violations de données, des listes de contrôle, des guides pratiques et des FAQ, nous continuerons à rendre la mise en conformité avec le RGPD réalisable et accessible à tous. »

Les flux de données transatlantiques restent pour le moment valides en vertu du « Data protection framework », malgré les mesures prises par l’administration Trump qui fragilisent le cadre de protection des données aux Etats-Unis.

La Commission européenne a en effet confirmé mi-juin, en réponse à une question parlementaire, que le licenciement des membres du PCLOB (le Comité de supervision de la vie privée et des libertés civiles) n’affecte pas la validité du cadre de protection des données entre l’UE et les États-Unis, le PCLOB restant en mesure de fonctionner.

 

Správy z členských krajín Európskej únie.

L’autorité de protection des données (APD) du Land de Berlin a conclu dans une décision du 27 juin que les transferts de données de DeepSeek vers la Chine sont illégaux et demande à Google et Apple de bloquer l’application.

DeepSeek n’aurait pas été en mesure de fournir à l’APD des preuves convaincantes que les données des utilisateurs allemands sont protégées en Chine à un niveau équivalent à celui de l’Union européenne.

« Les autorités chinoises disposent de droits d’accès étendus aux données personnelles détenues par les entreprises chinoises. En outre, les utilisateurs de DeepSeek en Chine ne disposent pas de droits exécutoires et de recours juridiques efficaces tels qu’ils sont garantis dans l’Union européenne ».

L’APD belge a rejeté le 26 juin 16 plaintes déposées par l’ONG Noyb dans 5 affaires différentes au motif qu’il n’existait aucun mandat réel (non fictif) de la part des personnes concernées.

Dans son communiqué de presse, l’APD souligne la différence entre les articles 80(1) et 80(2) du RGPD et le fait que le législateur belge a choisi de ne pas autoriser les organisations de défense des droits des consommateurs à déposer des plaintes sans mandat.

Elle conclut en indiquant que « compte tenu de l’importance de ces organisations, (elle) est favorable à une modification législative qui permettrait également cette option en Belgique ».

Au Danemark, un amendement à la loi sur le droit d’auteur accordera aux citoyens un droit sur leur voix, leur visage et leur corps, même lorsque ceux-ci sont reproduits numériquement par une IA générative.

Le ministre danois de la Culture déclarait à ce propos que « les êtres humains risquent de passer à la photocopieuse numérique et utilisés à toutes sortes de fins abusives, et je ne suis pas prêt à l’accepter. »

En Espagne, l’APD a infligé une amende de 3 200 000 € à Carrefour à la suite d’une série de violations de données.

Elle a constaté que Carrefour n’avait pas mis en place de mesures de sécurité adéquates et n’avait pas signalé la violation aux personnes concernées.

L’APD a également infligé une amende de 12 000 € à un sous-traitant pour avoir contracté avec un sous-traitant secondaire sans l’autorisation du responsable du traitement, en violation de l’article 28(2) du RGPD.

Microsoft fait face au premier recours collectif en Irlande : le Conseil irlandais pour les libertés civiles (ICCL) a en effet engagé fin mai une procédure devant la Haute Cour de Dublin. Cette action en justice, intentée en vertu de la nouvelle directive européenne sur les recours collectifs, allègue que le système d’enchères en temps réel (RTB) utilisé par Microsoft pour diffuser des publicités ciblées en ligne est incompatible avec le RGPD.

Les documents concernant les demandes d’accès ne peuvent être conservés éternellement : à la suite d’une enquête d’initiative, l’APD lithuanienne a ordonné à un prestataire de services médicaux de fixer des délais de conservation pour les documents liés au traitement des demandes d’accès.

Attention aux pixels de suivi : l’APD norvégienne a infligé une amende de 250 000 NOK (21 600 €) à la municipalité de Kristiansand pour avoir traité illégalement les données personnelles d’enfants via les pixels Snap et Meta sur le site web de sa ligne d’assistance contre la maltraitance des enfants.

L’APD a aussi estimé que les informations relatives aux visites de pages d’un site web contenant des contenus sur des questions médicales spécifiques constituaient des données sensibles, et a réprimandé une entreprise pour avoir traité illégalement ces informations sensibles via le pixel Meta.

 

Au Royaume-Uni, la loi sur l’utilisation et l’accès aux données (DUAA) a reçu la sanction royale le 19 juin dernier. Cette loi comprend des dispositions visant à favoriser le développement des services de vérification numérique, de nouveaux programmes de données intelligentes tels que l’Open Banking et un nouveau registre national des actifs souterrains.

Elle comprend également des modifications importantes de la législation britannique en matière de protection des données.

La DUAA ne remplacera pas le RGPD britannique, mais elle y apportera certaines modifications « afin de simplifier les règles pour les organisations, d’encourager l’innovation, d’aider les services répressifs à lutter contre la criminalité et de permettre un partage responsable des données tout en maintenant des normes élevées en matière de protection des données. »

Aux Etats-Unis, la récente décision de la Cour suprême dans l’affaire Free Speech Coalition c. Paxton a provoqué une onde de choc dans le paysage numérique. Un article de l’IAPP s’inquiète de la remise en question des notions de vérification de l’âge, de liberté d’expression et des implications en matière de vie privée.

La décision rendue le 27 juin confirme une loi du Texas qui oblige les sites web proposant un contenu pour adultes à vérifier l’âge des visiteurs via des techniques potentiellement intrusives telles que la biométrie. Si cette décision vise à protéger les mineurs contre les contenus explicites, elle soulève aussi des questions quant aux risques liés à la collecte d’informations personnelles sensibles.

Aux Etats-Unis également, le Congrès a voté début juillet en faveur de l’adoption du « One Big Beautiful Bill Act », codifiant le programme national du président Trump, à l’exception d’une mesure importante : le moratoire sur la réglementation de l’IA qui était initialement inclus dans le projet de loi. Ce dernier aurait stoppé net plus de 1 000 projets de loi sur la réglementation de l’IA qui suivaient leur cours dans les processus législatifs des capitales des États depuis janvier.

Meta, propriétaire de WhatsApp, a annoncé le 16 juin le lancement de nouvelles fonctionnalités dans l’onglet « Mises à jour » de WhatsApp, notamment des publicités ciblées et un modèle d’abonnement. L’entreprise a déclaré que ces fonctionnalités seraient progressivement mises à la disposition des utilisateurs « au cours des prochains mois ». A cette fin, Meta utilisera les « préférences et informations publicitaires » des comptes Facebook et Instagram des utilisateurs qui sont liés à WhatsApp.

L’APD irlandaise a déclaré avoir été informée par WhatsApp que son modèle publicitaire ne serait pas déployé dans l’UE avant 2026 et qu’il serait discuté avec d’autres autorités chargées de la protection des données afin qu’elles puissent faire part de leurs préoccupations en tant que régulateurs européens.

Selon le journal l’Express du 26 mai dernier, la Russie prévoit de mettre en place à partir du 1er septembre 2025 un projet expérimental contraignant les étrangers en séjour temporaire à Moscou et dans sa région à utiliser une application mobile de géolocalisation et à se soumettre à des contrôles biométriques.  Il faudra s’enregistrer dans l’application, « accepter que ses données personnelles, y compris la géolocalisation, soient collectées, indiquer son lieu de résidence au ministère de l’Intérieur et le mettre à jour dans un délai de trois jours en cas de déménagement. »