Mois : mars 2026

1. La CNIL sanctionne France Travail de 5 millions d’euros pour manquement à la sécurité des données à caractère personnel

 

Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail (anciennement Pôle Emploi) pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel, conformément à l’article 32 du RGPD.

 

En 2024, des cyberattaquants ont ciblé le système d’information de France Travail et usurper les comptes des conseillers du service « CAP EMPLOI ».

 

Cette intrusion a permis la consultation de données à caractère personnel de toutes les personnes inscrites ou ayant été inscrites au cours des vingt dernières années, ainsi que des utilisateurs disposant d’un espace candidat sur francetravail.fr, incluant notamment les numéros de sécurité sociale, adresses électroniques et postales et numéros de téléphone. Les informations sensibles liées à la santé n’ont cependant pas été compromises.

 

Si la CNIL rappelle que l’obligation d’assurer la sécurité des données à caractère personnel est une obligation de moyens et qu’il n’est pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites  » d’ingénierie sociale « , elle a relevé que France Travail a violé cette obligation en ne mettant pas en œuvre des mesures de sécurité adaptées aux risques identifiés lors de ses analyses d’impact.

 

La CNIL a en particulier constaté l’insuffisance de robustesse des modalités d’authentification par mot de passe (i.e. critères de longueur et de complexité/ seuil de blocage pour tentatives infructueuse/ mécanismes de restriction complémentaires), un manque de mesures de journalisation pour détecter les comportements anormaux, et des habilitations d’accès définies de manière trop large permettant aux conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas.

 

Cette décision rappelle l’importance pour les organismes publics et privés de sécuriser leurs systèmes d’information, de limiter les accès aux seules personnes autorisées et de transformer les analyses d’impact en actions concrètes pour réduire les risques de violation de données.

 

• Pour lire la décision, cliquez ici

 

2. Apple perd face à l’UFC-Que Choisir pour clauses abusives et manquements à la protection des données

 

Par un arrêt du 27 février 2026, la Cour d’appel de Paris a confirmé, pour l’essentiel, la responsabilité d’Apple Distribution International Limited (Apple) à la suite de l’action engagée par l’UFC-Que Choisir concernant les conditions d’utilisation du service iTunes (devenu Apple Music) et les documents relatifs à la protection des données.

 

L’action, initiée en 2016, visait à contester le caractère abusif et illicite de plusieurs clauses contractuelles et dispositions relatives au traitement des données à caractère personnel. En première instance, le tribunal judiciaire de Paris avait retenu des manquements au droit de la consommation et au RGPD. Apple avait interjeté appel, contestant notamment la recevabilité de l’action et le bien-fondé des condamnations.

 

Sur la recevabilité, la Cour confirme qu’une association peut agir sans mandat au titre de l’article 80 du RGPD, tout en précisant que l’examen doit porter uniquement sur les clauses encore en vigueur.

 

Au fond, la Cour retient l’illicéité de plusieurs clauses relatives au traitement des données à caractère personnel, notamment en ce qui concerne la durée de conservation, les finalités et destinataires des données, les transferts internationaux, le profilage et l’exercice des droits des utilisateurs. Elle relève un défaut de clarté et de précision, les informations fournies ne permettant pas de satisfaire aux exigences de transparence prévues par le RGPD.

 

Sur le terrain du droit de la consommation, certaines clauses sont également jugées abusives. La Cour souligne leur caractère standardisé, leur manque de lisibilité et l’existence d’un déséquilibre significatif au détriment des utilisateurs, en raison notamment de formulations générales laissant une marge d’interprétation à l’opérateur.

 

Les documents « Apple Music et Confidentialité » et « Engagement de Confidentialité » ont été sanctionnés pour des motifs similaires.

 

S’agissant des sanctions, la Cour prend en compte la durée des manquements, le nombre d’utilisateurs concernés et la nature des clauses litigieuses, et porte les dommages-intérêts à 50 000 euros au titre de l’intérêt collectif des consommateurs.

 

Cette décision rappelle l’importance d’une rédaction claire, précise et transparente des conditions contractuelles, tant au regard du RGPD que du droit de la consommation, pour protéger les consommateurs.

 

• Pour lire la décision, cliquez ici

 

3. Le Conseil d’Etat confirme l’amende de 40 millions d’euros infligée à Criteo pour manquements au RGPD

 

Criteo fournit des services permettant l’affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l’aide de cookies, les données de navigation des personnes visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle.

 

Le 4 mars 2026, le Conseil d’Etat confirme en tous ces points le raisonnement de la CNIL en retenant ce qui suit :

 

• Criteo a la qualité de responsable conjoint de traitement lorsqu’elle dépose les cookies sur les terminaux des visiteurs des sites internet gérés par ses partenaires commerciaux et la qualité de responsable de traitement lorsqu’elle exploite ensuite les données ainsi recueillies (notamment fin de configurer et d’améliorer les traitements algorithmiques de ciblage mis en œuvre par Criteo).
• Les données traitées par Criteo sont des données personnelles dans la mesure où elles sont pseudonymisées et que l’identification de certaines personnes ne serait techniquement pas impossible.

En conséquence de ces qualifications, Criteo a manqué aux obligations suivantes :

 

• Criteo n’a pas conclu d’accords conformes à l’article 26 du RGPD avec ses partenaires en qualité de responsables conjoints de traitement ;
• Criteo n’était pas en mesure de démontrer la preuve que le consentement des personnes concernées a bien été recueilli pour les traitements fondés sur le consentement ;
• Criteo n’a pas informé les personnes concernées conformément aux articles 12 et 13 du RGPD ;
• Criteo a manqué à ses obligations relatives au droit au retrait du consentement et à l’effacement des données : si les personnes n’étaient plus exposées à un affichage de publicités ciblées, leurs données étaient conservées et traitées pour l’amélioration des algorithmes.

 

Le Conseil d’Etat a enfin validé le montant de la sanction prononcée, retenant la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, au nombre d’utilisateurs concernés (370 millions d’identifiants d’utilisateurs dans l’Union Européenne, dont 50 millions d’identifiants en France), au fait que Criteo est un acteur majeur du secteur des services de publicité sur internet et à la circonstance qu’elle a tiré un gain direct des manquements retenus.

 

• Pour lire la décision, cliquez ici.

 

4. La Commission européenne et l’autorité irlandaise enquêtent sur X et son IA Grok

 

X (anciennement Twitter) fait l’objet de deux enquêtes distinctes mais complémentaires concernant son outil d’intelligence artificielle Grok, intégré à la plateforme depuis 2024 : la 1^ère enquête est conduite par la Commission européenne quand la 2^nde a été initiée par l’autorité irlandaise de protection des données.

 

La Commission européenne a ouvert fin janvier une procédure formelle d’examen au titre du Digital Services Act (DSA). Cette nouvelle enquête s’inscrit dans la continuité de celle lancée en décembre 2023, qui portait initialement sur la conformité générale de la plateforme. Elle est désormais étendue à l’évaluation spécifique des systèmes de recommandation de la plateforme et des fonctionnalités de Grok. Ces fonctionnalités permettent aux utilisateurs de produire des contenus textuels et visuels et d’intégrer des éléments contextuels à leurs publications.

 

La Commission examine d’éventuelles violations des articles 34(1) et (2) du DSA, relatifs à l’évaluation et à l’atténuation des risques systémiques, de l’article 35(1) sur les mesures d’atténuation spécifiques, ainsi que de l’article 42(2), imposant la réalisation et la transmission d’un rapport d’évaluation des risques avant le déploiement de nouvelles fonctionnalités.

 

Quant à l’autorité irlandaise chargée de la protection des données (DPC), elle a annoncé, le 17 février 2026, l’ouverture d’une enquête portant sur le traitement de données à caractère personnel par Grok. Cette procédure fait suite à la diffusion de contenus deepfake à caractère sexuel générés à partir de photos ou vidéos de personnes réelles, y compris des mineurs. La DPC vérifie notamment si X a respecté les principes du RGPD : licéité, loyauté et transparence du traitement, minimisation, exactitude des données, réalisation d’une analyse d’impact sur la protection des données, et protection dès la conception et par défaut.

 

Ces enquêtes illustrent la complémentarité du DSA et du RGPD : quand le DSA encadre la sécurité et la responsabilité des services en ligne, le RGPD régit le traitement des données à caractère personnel, y compris celles exploitées par les outils d’IA.

 

• Pour plus d’informations sur le sujet, cliquez ici.

 

5. La proposition de loi afin d’interdire l’accès des réseaux sociaux pour les mineurs de moins de 15 ans a été adoptée par l’Assemblée nationale

 

Face aux inquiétudes croissantes liées au cyberharcèlement, à l’exposition à des contenus inappropriés et aux effets sur le sommeil et la santé mentale, l’Assemblée nationale a adopté, le 26 janvier 2026, une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineurs de moins de 15 ans.

 

Cette proposition distingue les conditions d’accès de la manière suivante :

 

• Pour les services figurant sur une liste officielle de plateformes jugées susceptibles de nuire à l’épanouissement des mineurs de moins de 15 ans, l’accès reste interdit, même avec l’accord des représentants légaux ;
• Pour les autres plateformes, l’accès peut être autorisé uniquement avec l’accord explicite d’au moins un parent ou tuteur, précisant les contenus accessibles, la durée maximale quotidienne et les horaires d’utilisation.

 

Les contrats conclus en violation de ces dispositions seraient nuls de plein droit, et la mesure entrerait en vigueur le 1er septembre 2026.

 

L’effectivité de cette loi reposerait ainsi principalement sur les plateformes, qui doivent vérifier l’âge des utilisateurs. A cet égard, la Commission européenne a recommandé d’adopter des méthodes de vérification d’âge « précises, fiables, robustes, non intrusives et non discriminatoires » dans ses lignes directrices publiées le 14 juillet 2025 (lien). Une solution de vérification de l’âge a également été développée et est en phase de test (lien).

 

La proposition de loi est désormais soumise au Sénat et est discutée en séance publique le 31 mars 2026.

 

Le cadre européen impose déjà aux plateformes des exigences en matière de protection des mineurs. L’article 28 du DSA instaure des obligations adaptées à la nature du service, à ses fonctionnalités et aux risques identifiés, sans prévoir d’interdiction générale fondée sur l’âge.

 

A noter que WhatsApp vient d’annoncer qu’il lançait une messagerie « version préado », dédiée aux moins de 13 ans (contrôle parental renforcé, absence de publicité et de fonctionnalités d’intelligence artificielle). De notre point de vue, cette nouvelle version est liée au fait que WhatsApp a été désigné par la Commission européenne comme très grande plateforme pour ses services de chaines en janvier dernier et qu’il doit donc se conformer à des obligations plus strictes au titre du DSA d’ici la fin du mois de mai, notamment pour ce qui concerne les mineurs. Aucune mesure de vérification ou d’estimation de l’âge n’est mise en place pour cette version « pré-ado ». Meta se repose sur une action parentale et une déclaration de l’âge pour limiter les accès aux contenus des chaînes de WhatsApp par les mineurs. Il n’est pas précisé si Meta a évalué par ailleurs les risques systémiques liés à ces chaînes et si d’autres mesures ont été mises en œuvre pour en atténuer les conséquences. Il reste encore 2 mois à Meta pour y travailler.

 

• Pour plus d’informations sur le sujet, la proposition de loi votée par l’Assemblée nationale est ici et l’interview d’Emilie de Vaucresson dans les Echos sur la version préado de WhatsApp est ici.

 

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

Encadrement des droits des personnes concernées issus du RGPD

• Le CEPD a lancé une action coordonnée de contrôle portant sur le respect des obligations de transparence et d’information prévues par le RGPD. (19 mars 2026) : https://urls.fr/FoYfaT
• Une demande d’accès à ses données à caractère personnel peut être qualifiée d’abusive et refusée si elle est introduite dans le seul but de demander ensuite une réparation pour prétendue violation du RGPD. (19 mars 2026) : https://urls.fr/3K-IAG

 

Encadrement des traitements de données sensibles et des dispositifs de captation sonore

• Saisi par plusieurs associations et particuliers, le Conseil d’État n’a pas annulé l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française. (20 mars 2026) : https://urls.fr/c7Ube8
• La CNIL a publié des recommandations sur les dispositifs de captation sonore couplés à la vidéoprotection. (20 mars 2026) : https://urls.fr/OmO1UL
• La CJUE a jugé que la collecte de données biométriques par une autorité de police dans le cadre d’une enquête pénale ne peut être justifiée que par une nécessité absolue. (19 mars 2026) : https://urls.fr/NemtWZ

 

Souveraineté numérique et cybersécurité

• Dans ses conclusions, l’avocate générale Capeta a affirmé que les États membres peuvent exclure du matériel et des logiciels des infrastructures de télécommunications 2G-4G et 5G en raison du risque que le fabricant de ces équipements représente pour la sécurité nationale. (19 mars 2026) : https://urls.fr/-dW5gH
• Le CEPD et l’EDPB ont adopté un avis conjoint sur la proposition de règlement sur la cybersécurité et la proposition de modification de la directive NIS 2. (18 mars 2026) : https://urls.fr/s_8Lh1
• L’ANSSI a publié le Référentiel Cyber France (Recyf) pour aider à la sécurisation des organisations. (18 mars 2026) : https://urls.fr/XzsO4T

 

Responsabilité des plateformes

• La Cour d’appel de Paris a confirmé le jugement prononcé par le tribunal judiciaire en première instance à l’encontre de Shein concernant la commercialisation de produits à caractère pornographique et n’a pas prononcé le blocage de la plateforme. (19 mars 2026) : https://urls.fr/xlkYO2

Le “prix forfaitaire” en immobilier : un équilibre aussi fragile que mythique

Décryptage par David Tavernier et Samir Khawaja dans ODA.

 

Entre marchés forfaitaires avec les entreprises et contrats à prix fermes avec les clients finaux, les promoteurs naviguent sur un équilibre théorique souvent mis à mal en pratique.

 

Pour Samir Khawaja le constat est clair : « Le mécanisme d’imprévision du Code civil est devenu un levier majeur de négociation et de contentieux dans un contexte économique instable. »

 

Quand l’exécution d’un contrat devient excessivement onéreuse, les parties renégocient ou le juge tranche.

 

La réception des ouvrages cristallise aussi les tensions. Sur la GPA, Samir Khawaja souligne : « Elle est utilisée dans la quasi-totalité des dossiers, souvent jusqu’à l’assignation judiciaire avant l’expiration du délai d’un an. »

 

David Tavernier estime que la hausse du contentieux reflète surtout une dégradation des conditions d’exécution : « Les référés préventifs sont devenus quasi systématiques en zones denses pour sécuriser juridiquement les opérations avant même le premier coup de pioche. »

 

Dans la construction, le contrat ne protège que ceux qui anticipent. ⚖️

 

Cliquez ici pour retrouver l’intégralité de l’article.

 

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🔐 Panorama de la cybermenace 2025

1. L’ANSSI a publié son bilan de la cybermenace en France. (11 mars 2026) https://urls.fr/SRSahW

🤖 L’encadrement des technologies émergentes par les autorités de protection

2. Le CEPD et l’EDPS ont publié un avis conjoint sur la proposition de règlement sur les biotechnologies (European Biotech Act). (12 mars 2026) https://urls.fr/Y4bGG_
3. Le CEPD a publié un guide relatif à son nouveau rôle au titre de l’IA Act. (17 mars 2026) https://urls.fr/OZ_MnV

📊L’encadrement des nouveaux usages de la donnée

4. La CNIL a publié une FAQ sur les organisations altruistes des données reconnues dans l’Union européenne conformément au règlement sur la gouvernance des données (DGA). (10 mars 2026) https://urls.fr/lj3gco
5. La CNIL a publié des recommandations relatives aux serveurs mandataires web filtrants. (13 mars 2026) https://urls.fr/uNpIng

⚖️ Sanctions administratives

6. La CJUE a jugé qu’un abonné peut résilier son contrat d’accès à Internet sans frais en cas de modification visant à se conformer à une décision de la Cour de justice. (12 mars 2026) https://urls.fr/1mWBNm
7. La Cour administrative du Luxembourg a annulé, la décision de la Commission nationale pour la protection des données (CNPD) qui avait infligé en 2021 une amende de 746 millions d’euros à Amazon Europe Core dans un dossier lié à ses pratiques de publicité comportementale en ligne. (12 mars 2026) https://urls.fr/12vQrX

🔍 À suivre :

8. Google a annoncé qu’à partir du 2 avril 2026, reCAPTCHA passera du statut de responsable du traitement des données à celui de sous-traitant des données. (26 janvier 2026) https://urls.fr/z-araV
9. La Cour d’appel de Paris a condamné Apple, à la suite d’une action engagée par UFC-Que Choisir, en constatant la présence de plusieurs clauses illicites dans les conditions générales du service iTunes. (27 février 2026) https://urls.fr/12FOZP

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🤖 Encadrement de l’intelligence artificielle

1. La HAS et la CNIL publient un projet de guide soumis à consultation. (5 mars 2026) https://urls.fr/HtpxAA
2. La Commission européenne a publié la deuxième version du code de bonnes pratiques sur le marquage des contenus générés par IA, en application de l’article 50 de l’AI Act. (5 mars 2026) https://urls.fr/unnJnS

🔐 Protection des données à caractère personnel et contentieux

3. Le Conseil d’État a confirmé la sanction de 40 millions d’euros infligée à Criteo par la CNIL. (4 mars 2026) https://urls.fr/zD8Vl3
4. Le CEPD a publié une étude de marché sur les courtiers en données. (4 mars 2026) https://urls.fr/mQEUB4
5. Des plaignants dans le New Jersey et en Californie poursuivent Meta pour violation présumée de la vie privée, après des révélations selon lesquelles des vidéos intimes captées par leurs lunettes connectées seraient partagées à l’insu des utilisateurs avec des sous-traitants basés au Kenya. https://urls.fr/GA_lPm

🏥 Régulation du numérique en santé

6. Le décret n°2026-153 définissant les modalités de pénalités financières applicables aux éditeurs de services numériques en santé (SNS) en cas de non-respect des exigences de sécurité prévues à l’article L.1470-5 du Code de la santé publique ou d’absence de certificat de conformité a été publié. (4 mars 2026) https://urls.fr/i7eJ4e

🛡️Renforcement de la protection des utilisateurs face aux risques et fraudes en ligne

7. La Commission européenne a tenu une première réunion du groupe d’experts sur la sécurité des enfants en ligne. (5 mars 2026) https://urls.fr/J3ItTN
8. Dans l’affaire C-70/25, l’avocat général Rantos a considéré qu’en vertu du droit de l’Union, une banque ne peut pas refuser de procéder au remboursement immédiat du montant d’une opération non autorisée au motif d’une négligence grave du client. (5 mars 2026) https://urls.fr/xHNE2E

La 13ᵉ édition de la classification de Nice, entrée en vigueur le 1ᵉʳ janvier 2026, a modifié le classement de plusieurs produits et services, notamment dans les secteurs de l’optique, du bien-être ou encore des transports.

 

Parmi les principales évolutions :

 

• les huiles essentielles sont désormais classées selon leur usage : cosmétique en classe 3, médical en classe 5 ou alimentaire en classe 30 ;
• les lunettes, lentilles et accessoires optiques quittent la classe 9 pour la classe 10, considérés comme dispositifs médicaux, seules les lunettes à vocation scientifique restent en classe 9 ;
• les vêtements chauffants deviennent des vêtements à part entière désormais visés en classe 25 et les véhicules de secours passent en classe 12.

Les marques françaises en vigueur au 1^er janvier 2026 restent valables en l’état et la reclassification n’interviendra qu’au moment du renouvellement.

 

Une difficulté pourrait toutefois apparaître avant cette échéance en cas d’extension internationale d’une marque française. Dans cette hypothèse, le déposant pourrait recevoir une notification d’irrégularité l’invitant à adapter la rédaction des produits et services afin de les rendre conformes à la classification en vigueur. Des propositions de régularisation seraient alors émises par l’INPI.

 

Par ailleurs, dans l’hypothèse où la reclassification conduirait à l’ajout d’une nouvelle classe non initialement visée par la marque, le déposant devra s’acquitter de la redevance complémentaire de 40 euros. Si à l’issue de cette reclassification, la classe initialement visée ne présente plus d’intérêt (par exemple, si elle ne comporte plus aucun produit/service ou si les produits/services restants n’ont plus d’intérêt), le déposant devrait pouvoir y renoncer. Le cas échéant, aucun paiement complémentaire ne devrait être dû, le nombre total de classes restant inchangé.

 

Pour les marques de l’Union européenne et les enregistrements internationaux, aucun mécanisme de reclassification ne sera mis en place pour les enregistrements en vigueur au 1^er janvier 2026 : seuls les nouveaux dépôts devront respecter la nouvelle classification.

 

En pratique, cette nouvelle édition ne modifie pas fondamentalement les stratégies de dépôt de marque. Toutefois, des ajustements pourront s’avérer nécessaires, tant lors du renouvellement que lors du dépôt de nouvelles marques, si les titres concernés sont affectés par ces évolutions.

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

 

🔎 Intensification des actions des autorités européennes en matière de protection des données personnelles

1. L’autorité italienne de protection des données a ordonné à Amazon de cesser de conserver des données sensibles de plus de 1 800 employés. (24 février 2026) https://urls.fr/bI7-ZG
2. L’autorité britannique de protection des données a sanctionné Reddit à hauteur de 14,47 millions de livres pour manquements au respect de la vie privée des enfants. (24 février 2026) https://urls.fr/jJgF5z

⚖️ Renforcement des instruments de régulation de la CNIL en matière de protection des données

3. La CNIL a lancé une consultation publique sur son projet de recommandation concernant les outils de rejeu de session qui permettent le suivi et l’analyse du comportement en ligne des utilisateurs.  (25 février 2026) https://urls.fr/4-NZ5P
4. La CNIL a mis à jour ses tables informatique et libertés destinées aux professionnels et universitaires qui consolident l’essentiel de la jurisprudence et de la pratique décisionnelle en matière de protection des données à caractère personnel. (2 mars 2026) https://urls.fr/CO2vDe

🔒 Renforcement des exigences en matière de cybersécurité et de gestion des incidents

5. L’ANSSI a mis à jour son MOOC SecNumacadémie. (24 février 2026) https://urls.fr/uubtbu
6. Après la confirmation par le Conseil d’État de la sanction CNIL de 800 000 € à l’encontre de Cegedim Santé, la société a annoncé avoir été victime, depuis fin 2025, d’un incident de cybersécurité affectant 15 millions de personnes, dont 164 000 données sensibles. (26 février 2026) https://urls.fr/BqzsE2

⏳ À suivre

7. La Commission européenne a présenté une proposition de loi relative à la sécurisation des marchés publics numériques. (25 février 2026) https://urls.fr/kVsAmP
8. L’avocat général Rantos a proposé le rejet des pourvois de Meta Platforms Ireland dans le cadre d’une enquête pour abus de position dominante sur l’utilisation des données Facebook Data et le service Facebook Marketplace. (26 février 2026) https://urls.fr/neJh2N