Newsletter Archives

Newsletter – Droit commercial

Posted on 23 avril 2026 by Yohan Abriel

Concerts de Céline Dion à Paris : ouverture d’une enquête de la DGCCRF ciblant de potentielles « pratiques commerciales trompeuses » de certaines plateformes de vente de billets en ligne après une hausse soudaine des prix au moment du paiement.

1. Qu’est-ce que la tarification dynamique ?

La « tarification dynamique » également appelée « yield management » désigne la technique par laquelle une entreprise ajuste le prix de ses biens et services en temps réel en fonction de certains critères déterminés tels que :

la demande ;
la disponibilité des stocks ;
la politique tarifaire des concurrents ;
les périodes et la saisonnalité (jours fériés, événements, ) ;
le comportement des consommateurs.

En pratique, les entreprises ont recours à des algorithmes de tarification capables d’exploiter de grands volumes de données diversifiées pour déterminer, en temps réel, les règles de tarification optimales dans une logique de maximisation de leurs revenus.

Longtemps cantonnée aux secteurs des transports (trains, avions, etc.), l’hôtellerie, la billetterie sportive et de spectacles ou encore l’énergie, cette pratique s’étend désormais à tout secteur caractérisé par une demande variable, dès lors qu’une flexibilité tarifaire est susceptible de générer un avantage concurrentiel tangible.

A titre d’exemple, plus une place de concert est recherchée, plus son prix augmente. Cette modulation des prix s’est particulièrement illustrée lors de la vente des billets pour les concerts de Céline Dion : le prix effectivement payé par les consommateurs a parfois doublé ou triplé le prix annoncé.

En réponse aux accusations selon lesquelles le prix facturé différait de celui indiqué dans le panier d’achat, AXS, plateforme officielle de billetterie, a admis l’existence de fluctuations tarifaires, qu’elle impute à un « problème technique temporaire ».

2. La tarification dynamique : une pratique autorisée en France… mais encadrée

En France, la tarification dynamique est autorisée sur le fondement de l’article L. 410-2 du Code de commerce, qui consacre le principe de libre fixation des prix, sous réserve pour le professionnel :

d’informer clairement le consommateur de toute variation tarifaire préalablement à tout paiement, conformément à l’article L. 221-5 du Code de la consommation ; et

Si le contenu précis de cette information n’est pas défini par les textes, le Conseil national de la consommation recommande une information simple et intelligible notamment sur les principaux paramètres de variation du prix.

de s’assurer que le mécanisme de tarification demeure loyal, non abusif et non discriminatoire.

Le non-respect de ces exigences expose notamment les entreprises à des poursuites, par la DGCCRF, pour pratiques commerciales trompeuses dès lors que la divergence entre le prix communiqué et le prix effectivement débité est susceptible d’avoir influencé l’acte d’achat du consommateur.

Depuis une loi n°2024-420 du 10 mai 2024 qui a modifié l’article L. 132-2 du Code de la consommation, les pratiques commerciales trompeuses commises par l’intermédiaire « d’un support numérique ou électronique » sont sanctionnées par :

une peine maximale de 5 ans de prison ;
une amende d’un montant maximal de 750 000 euros pour les personnes physiques ; et
une amende d’un montant maximal de 3,75 millions d’euros pour les personnes morales.

3. Quels risques la tarification dynamique fait-elle peser pour les consommateurs ?

Cette modulation de prix soulève une typologie de risques pour les consommateurs :

le risque de discrimination : pour optimiser les prix, les algorithmes peuvent traiter des informations sensibles (âge, sexe, origine, ) et ainsi renforcer, à terme, des inégalités entre consommateurs ;
le risque de manque de transparence : le fonctionnement des algorithmes est souvent complexe à expliquer aux consommateurs, ce qui engendre une opacité à leur égard et les prive, in fine, de la possibilité de comparer efficacement les prix ;
le risque de non-conformité réglementaire : ces algorithmes peuvent enfreindre les réglementations relatives à la concurrence ou la protection des données et leur complexité rend leur contrôle par les autorités compétentes particulièrement ardu.

Pour pallier ces risques, le consommateur peut notamment :

comparer les prix en utilisant plusieurs plateformes avant de procéder à son achat ;
paramétrer ses réglages afin de limiter le partage de ses données personnelles et désactiver les cookies;
privilégier des périodes moins exposées aux hausses tarifaires prévisibles (par exemple les jours fériés) et anticiper autant que possible ses achats.

Au vu de la prolifération de ce phénomène et des risques associés, des propositions d’évolutions juridiques sont en cours.

TRANSPOSITION DE LA DIRECTIVE (UE) 2023/970 : DE NOUVELLES OBLIGATIONS SUR LA TRANSPARENCE SALARIALE POUR LES EMPLOYEURS BIENTOT EN VIGUEUR

Posted on 7 avril 20267 avril 2026 by Yohan Abriel

Les points clés à retenir :

Transparence salariale dès l’offre d’emploi : Le salaire proposé, ou sa fourchette, ainsi que les éléments importants de la convention collective, devront être communiqués avant ou lors de l’entretien d’embauche. En outre, l’employeur ne pourra plus interroger le candidat sur ses salaires passés.

Transparence salariale des salariés déjà en poste :

a) Droit d’accès des salariés aux informations salariales : Tout salarié pourra obtenir par écrit des informations sur sa rémunération ainsi que sur les niveaux de rémunération moyens par sexe pour des postes équivalents. L’employeur devra informer annuellement ses salariés de ce droit. Seules les entreprises de plus de 10 salariés seront a priori concernées.

b) Refonte de l’index de l’égalité professionnelle : L’index serait élargi à sept indicateurs pour mieux mesurer les écarts de rémunération entre femmes et hommes. Les employeurs devront justifier ou corriger tout écart injustifié, avec information et consultation du CSE selon la taille de l’entreprise.

c) Redéfinition du travail de valeur égale : L’employeur devra classer les postes de travail de valeur égale dans une même catégorie, en tenant compte de nouveaux critères. Cette catégorisation se fera par accord d’entreprise ou de branche d’ici fin 2026, ou à défaut par décision unilatérale après consultation du CSE.

d) Aménagement de la charge de la preuve en matière de rémunération : En cas de contentieux, le salarié ou candidat pourra présenter des éléments laissant présumer une discrimination salariale, et l’employeur devra alors prouver que les écarts reposent sur des critères objectifs.

e) Interdiction des clauses limitant la transparence : Les clauses interdisant aux salariés de communiquer sur leur rémunération seront nulles.

f) Sanctions en cas de manquement aux nouvelles obligations salariales : En cas de manquement, deux niveaux de sanctions administratives sont prévus :

- - jusqu’à 1 % de la masse salariale pour les manquements liés aux indicateurs et mesures correctives (2 % en cas de récidive),
  - et jusqu’à 450 € pour les manquements à l’information des salariés ou candidats (doublé en cas de récidive).

Malgré quelques progrès, le revenu salarial moyen des femmes demeure inférieur de 22,2 % à celui des hommes dans le secteur privé, temps partiels compris. En équivalent temps plein, le salaire moyen des femmes reste inférieur de 14,2% à celui des hommes.

Pour lutter contre ces inégalités et la culture du secret salarial qui sont de nature à les renforcer, l’Union Européenne a, le 10 mai 2023, adopté la directive 2023/970 (la « Directive ») « visant à renforcer l’application du principe de l’égalité des rémunérations entre les femmes et les hommes pour un même travail ou un travail de même valeur par la transparence des rémunérations et les mécanismes d’application du droit ».

Concrètement, les dispositions de cette Directive tendent à améliorer la transparence sur les salaires par l’instauration de nouveaux mécanismes contraignants. L’objectif est de faciliter l’accès aux informations salariales, de garantir des critères de rémunération non discriminatoires et d’améliorer les recours en cas de discrimination.

La Directive devra être transposée en droit français d’ici le 7 juin 2026, même s’il est d’ores et déjà acquis que la France ne tiendra pas ce délai. Le gouvernement prévoit un dépôt du projet de loi au Parlement fin mai, pour un examen en juin-juillet, et une adoption définitive d’ici la fin de l’année — mais l’agenda parlementaire chargé pourrait encore retarder ce calendrier. Des décrets d’application seront ensuite nécessaires avant toute entrée en vigueur effective.

Une première version du projet de loi visant à transposer la directive européenne sur la transparence salariale a été transmise aux partenaires sociaux et aux parlementaires le 6 mars dernier. Le texte a de nouveau fait l’objet d’une réunion de concertation avec les organisations patronales et salariales le 19 mars dernier.

Une transparence des rémunérations avant l’embauche

Indépendamment de la taille de l’entreprise, la rédaction des offres d’emploi devra désormais se conformer aux exigences de la nouvelle directive européenne. L’avant-projet de loi prévoit l’obligation de communiquer par écrit aux candidats – ou, à défaut d’offre d’emploi, avant ou lors de l’entretien de recrutement – les informations suivantes :

le montant de la rémunération ou une fourchette salariale pour le poste ;
les dispositions pertinentes de la convention collective, telles que les avantages, primes ou minima conventionnels.

Concrètement, les mentions telles que « la rémunération sera fixée en fonction du profil du candidat » ne seront plus autorisées.

Par ailleurs, il sera interdit de demander aux candidats des informations relatives à leur historique de rémunération, qu’il s’agisse de leur emploi actuel ou de leurs emplois passés.

L’objectif de ces mesures est d’empêcher que les salaires passés, potentiellement discriminatoires, influencent la rémunération future, tout en favorisant la transparence et l’égalité de traitement entre candidats lors des discussions et négociations salariales.

Une transparence des rémunérations des salariés en poste

C’est dans ce cadre que la directive introduit le plus grand nombre de nouvelles obligations.

a) Un nouveau droit à l’information accordé aux salariés

Selon le document transmis par le ministère du Travail aux partenaires sociaux, les salariés pourraient désormais demander à leur employeur des informations sur leur niveau de rémunération ainsi que sur les niveaux de rémunération moyens, ventilés par sexe, des salariés relevant de la même catégorie, c’est-à-dire exerçant un travail identique ou de même valeur.

Ces informations devraient être transmises par écrit, directement au salarié ou par l’intermédiaire des délégués syndicaux ou du CSE. L’employeur devrait par ailleurs informer chaque année l’ensemble des salariés de l’existence de ce droit et répondre aux demandes dans un délai précisé par décret.

Lorsque la communication de ces données serait susceptible de permettre l’identification indirecte d’un salarié en raison d’un nombre insuffisant de personnes dans la catégorie concernée, l’employeur pourrait tout de même refuser de transmettre les informations demandées et devrait en informer le salarié.

Lors de la réunion avec les partenaires sociaux du 19 mars dernier, le ministère du Travail a précisé que ce seuil sera fixé à 10 salariés. Un décret devra entériner cette décision.

En tout état de cause, il conviendra de mettre en place des systèmes de rémunération structurés, transparents et accessibles aux salariés, ainsi qu’une procédure interne claire pour le traitement des demandes relatives aux rémunérations.

b) Un nouvel index de l’égalité

Le ministère envisage une refonte de l’index de l’égalité professionnelle. Rappelons que chaque année, au plus tard le 1^er mars, les entreprises d’au moins 50 salariés doivent publier une mesure des écarts de rémunérations entre femmes et hommes, calculée selon quatre ou cinq indicateurs en fonction de l’effectif. Celle-ci est intégrée à la base de données économiques, sociales et environnementales et mise à disposition du CSE.

Dans le cadre de la transposition de la Directive, le gouvernement entend procéder à une refonte intégrale de l’index de l’égalité professionnelle, qui comprendrait sept nouveaux indicateurs. Ces derniers seront précisés par décret, mais il est vraisemblable qu’ils reprendront dans leur grande majorité les dispositions énoncées par la Directive elle-même :

- - L’écart de rémunération entre les femmes et les hommes ;
  - L’écart de rémunération entre les femmes et les hommes au niveau des composantes variables et complémentaires ;
  - L’écart de rémunération médian entre les femmes et les hommes ;
  - L’écart de rémunération médian entre les femmes et les hommes au niveau des composantes variables et complémentaires ;
  - La proportion de femmes et d’hommes bénéficiant de composantes variables et complémentaires ;
  - La proportion de femmes et d’hommes dans chaque quartile de rémunération, soit selon une découpe de quatre groupes égaux dans lesquels les travailleurs sont répartis en fonction de leur niveau de rémunération ;
  - L’écart de rémunération entre les femmes et les hommes par catégorie rassemblant des salariés accomplissant un travail égal ou de valeur égale.

Les six premiers indicateurs seront annualisés et systématisés via les DSN, le septième, qui restera à réaliser par les employeurs, devra être déposé :

- - Chaque année dans les entreprises d’au moins 250 salariés ;
  - Tous les trois ans dans celles de 50 à 249 salariés.

Le dispositif envisagé prévoit par ailleurs plusieurs obligations graduées selon l’effectif de l’entreprise :

- - Dans celles de 50 à 99 salariés, le CSE serait informé sur les données utilisées pour le calcul des indicateurs et sur leurs résultats. Lorsque le septième indicateur révélerait un écart supérieur à un seuil fixé par décret, l’employeur devrait engager la négociation obligatoire sur l’égalité professionnelle afin de définir des mesures correctrices. À défaut d’accord, celles-ci devraient être intégrées dans le plan d’action unilatéral de l’employeur. Un accord collectif pourrait par ailleurs dispenser l’entreprise de déclarer cet indicateur.
  - Dans les entreprises d’au moins 100 salariés, le CSE devrait être informé mais aussi consulté sur les données utilisées pour le calcul des indicateurs et sur leurs résultats. Son avis serait transmis par l’employeur à l’autorité administrative. Les salariés, le CSE ou les délégués syndicaux pourraient en outre demander à l’employeur des précisions et justifications sur le septième indicateur, auxquelles ce dernier serait tenu de répondre de manière motivée.

Lorsque le septième indicateur mettrait en évidence un écart supérieur au seuil fixé par décret, l’employeur disposerait de deux options :

- - justifier l’écart par des critères objectifs et non sexistes, après consultation du CSE. Si l’employeur choisissait cette option et que la justification était absente ou insuffisante, il devrait corriger l’écart dans un délai de six mois à compter de la première déclaration, puis procéder à une nouvelle déclaration. À l’issue de ce délai et de cette nouvelle déclaration, si les écarts persistaient et restaient non justifiés, l’employeur serait tenu d’engager une négociation sur des mesures correctrices par accord collectif ou, à défaut, par plan d’action ;
  - engager directement la négociation visant à adopter des mesures correctrices sans attendre le délai de six mois.

c) Des nouveaux critères d’appréciation du « travail de valeur égale »

Les critères permettant d’apprécier si des emplois sont de valeur égale seraient complétés. L’article L. 3221-4 du Code du travail fixant ces critères serait ainsi enrichi pour faire également référence aux compétences non techniques et à la notion de conditions de travail.

Serait par ailleurs introduite l’obligation pour l’employeur d’établir une catégorisation des salariés réalisant un travail de valeur égale. Celle-ci devrait être définie par un accord d’entreprise ou, à défaut, par un accord de branche. À ce titre, les organisations syndicales d’employeurs et de salariés représentatives au niveau des branches seraient invitées à engager des négociations en vue, le cas échéant, de la conclusion d’un tel accord avant le 31 décembre 2026. En l’absence d’accord à ces niveaux, l’employeur pourrait fixer cette catégorisation par décision unilatérale, après consultation du CSE, pour une durée de trois ans.

d) Une charge de la preuve aménagée en matière de rémunération

L’article L. 3221-8 du Code du travail serait réécrit afin de préciser l’aménagement de la charge de la preuve dans les litiges relatifs à l’égalité de rémunération. À l’instar des autres cas de discrimination, il appartiendrait au candidat à un emploi ou au salarié de présenter des éléments de fait laissant présumer l’existence d’une discrimination directe ou indirecte.

Le texte précise la nature de ces éléments, qui pourraient notamment inclure :

- - des données statistiques ;
  - la rémunération d’un salarié précédemment embauché par le même employeur ;
  - la rémunération d’un salarié d’un autre employeur lorsque les conditions salariales pertinentes sont fixées par une convention ou un accord collectif commun (accord interentreprises, de groupe ou au sein d’une unité économique et sociale).

Une fois ces éléments produits, il reviendrait à l’employeur de démontrer que toute différence de traitement repose sur des critères objectifs, indépendants de toute discrimination.

Les mêmes règles s’appliqueraient dans l’hypothèse où l’employeur ne respecterait pas ses nouvelles obligations en matière de transparence salariale, sauf s’il établit que le manquement est manifestement non intentionnel et revêt un caractère mineur.

e) L’interdiction des clauses restreignant la divulgation des informations relatives à la rémunération

Toute clause contractuelle interdisant à un salarié de divulguer son salaire ou d’échanger des informations relatives aux rémunérations avec ses collègues sera réputée nulle. On comprend que la transparence prévaut sur le secret individuel : l’employeur ne pourra en aucun cas sanctionner un salarié pour avoir discuté de ses conditions de rémunération.

f) La mise en place de sanctions en cas de manquement

Un régime de sanctions administratives spécifique serait instauré en cas de manquement aux nouvelles obligations mises à la charge des entreprises.

Deux catégories de manquements seraient ainsi visées :

les manquements relatifs aux obligations de déclaration des nouveaux indicateurs sur les écarts de rémunération et aux mesures visant à les réduire. Après, dans certains cas, une procédure de mise en demeure, l’autorité administrative pourrait prononcer une pénalité pouvant atteindre 1% des rémunérations versées aux salariés de l’entreprise. Le montant de cette pénalité serait fixé par l’administration et ne pourrait être appliqué qu’une seule fois par exercice pour chacun des types de manquements prévus par le texte. En cas de récidive dans les cinq années suivant une sanction précédente, ce plafond pourrait être porté à 2% de la masse salariale ;
certains manquements aux obligations de transparence et d’information, notamment celles relatives à l’information des salariés, à la communication des résultats des indicateurs ou à la mise à disposition d’informations aux candidats. Ils pourraient donner lieu à une pénalité administrative d’un montant maximal de 450 €. Le montant de cette pénalité pourrait également être doublé en cas de récidive dans les cinq années suivant une sanction antérieure.

Sur le plan civil, un salarié s’estimant victime d’une inégalité de rémunération pourra toujours saisir la justice afin d’obtenir une indemnisation intégrale de son préjudice. La directive prévoit que l’employeur fautif doit compenser l’intégralité des pertes subies du fait de la discrimination, incluant le rappel des salaires non perçus, des primes associées, ainsi que la réparation des opportunités manquées en lien avec cette différence de traitement.

En résumé, la transposition de cette directive nécessite une bonne connaissance des nouvelles obligations et une anticipation des changements.

L’avant-projet de loi prévoit le calendrier d’entrée en vigueur de son article 1^er. Ces dispositions entreraient ainsi en vigueur à compter d’une date fixée par décret et au plus tard dans un délai d’un an suivant la promulgation de la loi, à l’exception des dispositions relatives :

à l’obligation de déclaration du septième indicateur, qui entrerait en vigueur à une date fixée par décret et au plus tard le 1^erjuin 2030 pour les entreprises de moins de 150 salariés ;
au droit à l’information des salariés, qui entreraient en vigueur à compter de la date d’entrée en vigueur des accords ou de la décision unilatérale de l’employeur établissant une catégorisation des salariés réalisant un travail de valeur égale, et au plus tard dans le délai d’un an suivant la promulgation de la loi.

Rappelons par ailleurs qu’en complément de ces futurs mécanismes, (i) la négociation sur l’égalité professionnelle est toujours obligatoire dans les entreprises dotées de délégués syndicaux et (ii) que les entreprises de plus de 1 000 salariés devront compter 30 % de femmes parmi leurs cadres dirigeants d’ici 2027, puis 40 % d’ici 2030 (loi Rixain).

Newsletter IT-DATA Mars 2026

Posted on 31 mars 202631 mars 2026 by Yohan Abriel

La CNIL sanctionne France Travail de 5 millions d’euros pour manquement à la sécurité des données à caractère personnel

Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail (anciennement Pôle Emploi) pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel, conformément à l’article 32 du RGPD.

En 2024, des cyberattaquants ont ciblé le système d’information de France Travail et usurper les comptes des conseillers du service « CAP EMPLOI ».

Cette intrusion a permis la consultation de données à caractère personnel de toutes les personnes inscrites ou ayant été inscrites au cours des vingt dernières années, ainsi que des utilisateurs disposant d’un espace candidat sur francetravail.fr, incluant notamment les numéros de sécurité sociale, adresses électroniques et postales et numéros de téléphone. Les informations sensibles liées à la santé n’ont cependant pas été compromises.

Si la CNIL rappelle que l’obligation d’assurer la sécurité des données à caractère personnel est une obligation de moyens et qu’il n’est pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites » d’ingénierie sociale « , elle a relevé que France Travail a violé cette obligation en ne mettant pas en œuvre des mesures de sécurité adaptées aux risques identifiés lors de ses analyses d’impact.

La CNIL a en particulier constaté l’insuffisance de robustesse des modalités d’authentification par mot de passe (i.e. critères de longueur et de complexité/ seuil de blocage pour tentatives infructueuse/ mécanismes de restriction complémentaires), un manque de mesures de journalisation pour détecter les comportements anormaux, et des habilitations d’accès définies de manière trop large permettant aux conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas.

Cette décision rappelle l’importance pour les organismes publics et privés de sécuriser leurs systèmes d’information, de limiter les accès aux seules personnes autorisées et de transformer les analyses d’impact en actions concrètes pour réduire les risques de violation de données.

Pour lire la décision, cliquez ici

2. Apple perd face à l’UFC-Que Choisir pour clauses abusives et manquements à la protection des données

Par un arrêt du 27 février 2026, la Cour d’appel de Paris a confirmé, pour l’essentiel, la responsabilité d’Apple Distribution International Limited (Apple) à la suite de l’action engagée par l’UFC-Que Choisir concernant les conditions d’utilisation du service iTunes (devenu Apple Music) et les documents relatifs à la protection des données.

L’action, initiée en 2016, visait à contester le caractère abusif et illicite de plusieurs clauses contractuelles et dispositions relatives au traitement des données à caractère personnel. En première instance, le tribunal judiciaire de Paris avait retenu des manquements au droit de la consommation et au RGPD. Apple avait interjeté appel, contestant notamment la recevabilité de l’action et le bien-fondé des condamnations.

Sur la recevabilité, la Cour confirme qu’une association peut agir sans mandat au titre de l’article 80 du RGPD, tout en précisant que l’examen doit porter uniquement sur les clauses encore en vigueur.

Au fond, la Cour retient l’illicéité de plusieurs clauses relatives au traitement des données à caractère personnel, notamment en ce qui concerne la durée de conservation, les finalités et destinataires des données, les transferts internationaux, le profilage et l’exercice des droits des utilisateurs. Elle relève un défaut de clarté et de précision, les informations fournies ne permettant pas de satisfaire aux exigences de transparence prévues par le RGPD.

Sur le terrain du droit de la consommation, certaines clauses sont également jugées abusives. La Cour souligne leur caractère standardisé, leur manque de lisibilité et l’existence d’un déséquilibre significatif au détriment des utilisateurs, en raison notamment de formulations générales laissant une marge d’interprétation à l’opérateur.

Les documents « Apple Music et Confidentialité » et « Engagement de Confidentialité » ont été sanctionnés pour des motifs similaires.

S’agissant des sanctions, la Cour prend en compte la durée des manquements, le nombre d’utilisateurs concernés et la nature des clauses litigieuses, et porte les dommages-intérêts à 50 000 euros au titre de l’intérêt collectif des consommateurs.

Cette décision rappelle l’importance d’une rédaction claire, précise et transparente des conditions contractuelles, tant au regard du RGPD que du droit de la consommation, pour protéger les consommateurs.

Pour lire la décision, cliquez ici

3. Le Conseil d’Etat confirme l’amende de 40 millions d’euros infligée à Criteo pour manquements au RGPD

Criteo fournit des services permettant l’affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l’aide de cookies, les données de navigation des personnes visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle.

Le 4 mars 2026, le Conseil d’Etat confirme en tous ces points le raisonnement de la CNIL en retenant ce qui suit :

Criteo a la qualité de responsable conjoint de traitement lorsqu’elle dépose les cookies sur les terminaux des visiteurs des sites internet gérés par ses partenaires commerciaux et la qualité de responsable de traitement lorsqu’elle exploite ensuite les données ainsi recueillies (notamment fin de configurer et d’améliorer les traitements algorithmiques de ciblage mis en œuvre par Criteo).
Les données traitées par Criteo sont des données personnelles dans la mesure où elles sont pseudonymisées et que l’identification de certaines personnes ne serait techniquement pas impossible.

En conséquence de ces qualifications, Criteo a manqué aux obligations suivantes :

Criteo n’a pas conclu d’accords conformes à l’article 26 du RGPD avec ses partenaires en qualité de responsables conjoints de traitement ;
Criteo n’était pas en mesure de démontrer la preuve que le consentement des personnes concernées a bien été recueilli pour les traitements fondés sur le consentement ;
Criteo n’a pas informé les personnes concernées conformément aux articles 12 et 13 du RGPD ;
Criteo a manqué à ses obligations relatives au droit au retrait du consentement et à l’effacement des données : si les personnes n’étaient plus exposées à un affichage de publicités ciblées, leurs données étaient conservées et traitées pour l’amélioration des algorithmes.

Le Conseil d’Etat a enfin validé le montant de la sanction prononcée, retenant la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, au nombre d’utilisateurs concernés (370 millions d’identifiants d’utilisateurs dans l’Union Européenne, dont 50 millions d’identifiants en France), au fait que Criteo est un acteur majeur du secteur des services de publicité sur internet et à la circonstance qu’elle a tiré un gain direct des manquements retenus.

Pour lire la décision, cliquez ici.

4. La Commission européenne et l’autorité irlandaise enquêtent sur X et son IA Grok

X (anciennement Twitter) fait l’objet de deux enquêtes distinctes mais complémentaires concernant son outil d’intelligence artificielle Grok, intégré à la plateforme depuis 2024 : la 1^ère enquête est conduite par la Commission européenne quand la 2^nde a été initiée par l’autorité irlandaise de protection des données.

La Commission européenne a ouvert fin janvier une procédure formelle d’examen au titre du Digital Services Act (DSA). Cette nouvelle enquête s’inscrit dans la continuité de celle lancée en décembre 2023, qui portait initialement sur la conformité générale de la plateforme. Elle est désormais étendue à l’évaluation spécifique des systèmes de recommandation de la plateforme et des fonctionnalités de Grok. Ces fonctionnalités permettent aux utilisateurs de produire des contenus textuels et visuels et d’intégrer des éléments contextuels à leurs publications.

La Commission examine d’éventuelles violations des articles 34(1) et (2) du DSA, relatifs à l’évaluation et à l’atténuation des risques systémiques, de l’article 35(1) sur les mesures d’atténuation spécifiques, ainsi que de l’article 42(2), imposant la réalisation et la transmission d’un rapport d’évaluation des risques avant le déploiement de nouvelles fonctionnalités.

Quant à l’autorité irlandaise chargée de la protection des données (DPC), elle a annoncé, le 17 février 2026, l’ouverture d’une enquête portant sur le traitement de données à caractère personnel par Grok. Cette procédure fait suite à la diffusion de contenus deepfake à caractère sexuel générés à partir de photos ou vidéos de personnes réelles, y compris des mineurs. La DPC vérifie notamment si X a respecté les principes du RGPD : licéité, loyauté et transparence du traitement, minimisation, exactitude des données, réalisation d’une analyse d’impact sur la protection des données, et protection dès la conception et par défaut.

Ces enquêtes illustrent la complémentarité du DSA et du RGPD : quand le DSA encadre la sécurité et la responsabilité des services en ligne, le RGPD régit le traitement des données à caractère personnel, y compris celles exploitées par les outils d’IA.

Pour plus d’informations sur le sujet, cliquez ici.

5. La proposition de loi afin d’interdire l’accès des réseaux sociaux pour les mineurs de moins de 15 ans a été adoptée par l’Assemblée nationale

Face aux inquiétudes croissantes liées au cyberharcèlement, à l’exposition à des contenus inappropriés et aux effets sur le sommeil et la santé mentale, l’Assemblée nationale a adopté, le 26 janvier 2026, une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineurs de moins de 15 ans.

Cette proposition distingue les conditions d’accès de la manière suivante :

Pour les services figurant sur une liste officielle de plateformes jugées susceptibles de nuire à l’épanouissement des mineurs de moins de 15 ans, l’accès reste interdit, même avec l’accord des représentants légaux ;
Pour les autres plateformes, l’accès peut être autorisé uniquement avec l’accord explicite d’au moins un parent ou tuteur, précisant les contenus accessibles, la durée maximale quotidienne et les horaires d’utilisation.

Les contrats conclus en violation de ces dispositions seraient nuls de plein droit, et la mesure entrerait en vigueur le 1er septembre 2026.

L’effectivité de cette loi reposerait ainsi principalement sur les plateformes, qui doivent vérifier l’âge des utilisateurs. A cet égard, la Commission européenne a recommandé d’adopter des méthodes de vérification d’âge « précises, fiables, robustes, non intrusives et non discriminatoires » dans ses lignes directrices publiées le 14 juillet 2025 (lien). Une solution de vérification de l’âge a également été développée et est en phase de test (lien).

La proposition de loi est désormais soumise au Sénat et est discutée en séance publique le 31 mars 2026.

Le cadre européen impose déjà aux plateformes des exigences en matière de protection des mineurs. L’article 28 du DSA instaure des obligations adaptées à la nature du service, à ses fonctionnalités et aux risques identifiés, sans prévoir d’interdiction générale fondée sur l’âge.

A noter que WhatsApp vient d’annoncer qu’il lançait une messagerie « version préado », dédiée aux moins de 13 ans (contrôle parental renforcé, absence de publicité et de fonctionnalités d’intelligence artificielle). De notre point de vue, cette nouvelle version est liée au fait que WhatsApp a été désigné par la Commission européenne comme très grande plateforme pour ses services de chaines en janvier dernier et qu’il doit donc se conformer à des obligations plus strictes au titre du DSA d’ici la fin du mois de mai, notamment pour ce qui concerne les mineurs. Aucune mesure de vérification ou d’estimation de l’âge n’est mise en place pour cette version « pré-ado ». Meta se repose sur une action parentale et une déclaration de l’âge pour limiter les accès aux contenus des chaînes de WhatsApp par les mineurs. Il n’est pas précisé si Meta a évalué par ailleurs les risques systémiques liés à ces chaînes et si d’autres mesures ont été mises en œuvre pour en atténuer les conséquences. Il reste encore 2 mois à Meta pour y travailler.

Pour plus d’informations sur le sujet, la proposition de loi votée par l’Assemblée nationale est ici et l’interview d’Emilie de Vaucresson dans les Echos sur la version préado de WhatsApp est ici.

J&Actu Tech & Data

Posted on 26 mars 202630 mars 2026 by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

Encadrement des droits des personnes concernées issus du RGPD

Le CEPD a lancé une action coordonnée de contrôle portant sur le respect des obligations de transparence et d’information prévues par le RGPD. (19 mars 2026) : https://urls.fr/FoYfaT
Une demande d’accès à ses données à caractère personnel peut être qualifiée d’abusive et refusée si elle est introduite dans le seul but de demander ensuite une réparation pour prétendue violation du RGPD. (19 mars 2026) : https://urls.fr/3K-IAG

Encadrement des traitements de données sensibles et des dispositifs de captation sonore

Saisi par plusieurs associations et particuliers, le Conseil d’État n’a pas annulé l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française. (20 mars 2026) : https://urls.fr/c7Ube8
La CNIL a publié des recommandations sur les dispositifs de captation sonore couplés à la vidéoprotection. (20 mars 2026) : https://urls.fr/OmO1UL
La CJUE a jugé que la collecte de données biométriques par une autorité de police dans le cadre d’une enquête pénale ne peut être justifiée que par une nécessité absolue. (19 mars 2026) : https://urls.fr/NemtWZ

Souveraineté numérique et cybersécurité

Dans ses conclusions, l’avocate générale Capeta a affirmé que les États membres peuvent exclure du matériel et des logiciels des infrastructures de télécommunications 2G-4G et 5G en raison du risque que le fabricant de ces équipements représente pour la sécurité nationale. (19 mars 2026) : https://urls.fr/-dW5gH
Le CEPD et l’EDPB ont adopté un avis conjoint sur la proposition de règlement sur la cybersécurité et la proposition de modification de la directive NIS 2. (18 mars 2026) : https://urls.fr/s_8Lh1
L’ANSSI a publié le Référentiel Cyber France (Recyf) pour aider à la sécurisation des organisations. (18 mars 2026) : https://urls.fr/XzsO4T

Responsabilité des plateformes

La Cour d’appel de Paris a confirmé le jugement prononcé par le tribunal judiciaire en première instance à l’encontre de Shein concernant la commercialisation de produits à caractère pornographique et n’a pas prononcé le blocage de la plateforme. (19 mars 2026) : https://urls.fr/xlkYO2

J&Actu Tech & Data

Posted on 18 mars 202630 mars 2026 by Yohan Abriel

[J&Actu Tech & Data]

La veille hebdo à ne pas manquer !

🔐 Panorama de la cybermenace 2025

L’ANSSI a publié son bilan de la cybermenace en France. (11 mars 2026) https://urls.fr/SRSahW

🤖 L’encadrement des technologies émergentes par les autorités de protection

Le CEPD et l’EDPS ont publié un avis conjoint sur la proposition de règlement sur les biotechnologies (European Biotech Act). (12 mars 2026) https://urls.fr/Y4bGG_
Le CEPD a publié un guide relatif à son nouveau rôle au titre de l’IA Act. (17 mars 2026) https://urls.fr/OZ_MnV

📊L’encadrement des nouveaux usages de la donnée

La CNIL a publié une FAQ sur les organisations altruistes des données reconnues dans l’Union européenne conformément au règlement sur la gouvernance des données (DGA). (10 mars 2026) https://urls.fr/lj3gco
La CNIL a publié des recommandations relatives aux serveurs mandataires web filtrants. (13 mars 2026) https://urls.fr/uNpIng

⚖️ Sanctions administratives

La CJUE a jugé qu’un abonné peut résilier son contrat d’accès à Internet sans frais en cas de modification visant à se conformer à une décision de la Cour de justice. (12 mars 2026) https://urls.fr/1mWBNm
La Cour administrative du Luxembourg a annulé, la décision de la Commission nationale pour la protection des données (CNPD) qui avait infligé en 2021 une amende de 746 millions d’euros à Amazon Europe Core dans un dossier lié à ses pratiques de publicité comportementale en ligne. (12 mars 2026) https://urls.fr/12vQrX

🔍 À suivre :

Google a annoncé qu’à partir du 2 avril 2026, reCAPTCHA passera du statut de responsable du traitement des données à celui de sous-traitant des données. (26 janvier 2026) https://urls.fr/z-araV
La Cour d’appel de Paris a condamné Apple, à la suite d’une action engagée par UFC-Que Choisir, en constatant la présence de plusieurs clauses illicites dans les conditions générales du service iTunes. (27 février 2026) https://urls.fr/12FOZP