- La CNIL sanctionne France Travail de 5 millions d’euros pour manquement à la sécurité des données à caractère personnel
Le 22 janvier 2026, la CNIL a infligé une amende de 5 millions d’euros à France Travail (anciennement Pôle Emploi) pour manquement à l’obligation d’assurer la sécurité des données à caractère personnel, conformément à l’article 32 du RGPD.
En 2024, des cyberattaquants ont ciblé le système d’information de France Travail et usurper les comptes des conseillers du service « CAP EMPLOI ».
Cette intrusion a permis la consultation de données à caractère personnel de toutes les personnes inscrites ou ayant été inscrites au cours des vingt dernières années, ainsi que des utilisateurs disposant d’un espace candidat sur francetravail.fr, incluant notamment les numéros de sécurité sociale, adresses électroniques et postales et numéros de téléphone. Les informations sensibles liées à la santé n’ont cependant pas été compromises.
Si la CNIL rappelle que l’obligation d’assurer la sécurité des données à caractère personnel est une obligation de moyens et qu’il n’est pas possible pour un responsable de traitement de se prémunir contre l’ensemble des attaques dites » d’ingénierie sociale « , elle a relevé que France Travail a violé cette obligation en ne mettant pas en œuvre des mesures de sécurité adaptées aux risques identifiés lors de ses analyses d’impact.
La CNIL a en particulier constaté l’insuffisance de robustesse des modalités d’authentification par mot de passe (i.e. critères de longueur et de complexité/ seuil de blocage pour tentatives infructueuse/ mécanismes de restriction complémentaires), un manque de mesures de journalisation pour détecter les comportements anormaux, et des habilitations d’accès définies de manière trop large permettant aux conseillers d’accéder à des données de personnes qu’ils n’accompagnaient pas.
Cette décision rappelle l’importance pour les organismes publics et privés de sécuriser leurs systèmes d’information, de limiter les accès aux seules personnes autorisées et de transformer les analyses d’impact en actions concrètes pour réduire les risques de violation de données.
- Pour lire la décision, cliquez ici
2. Apple perd face à l’UFC-Que Choisir pour clauses abusives et manquements à la protection des données
Par un arrêt du 27 février 2026, la Cour d’appel de Paris a confirmé, pour l’essentiel, la responsabilité d’Apple Distribution International Limited (Apple) à la suite de l’action engagée par l’UFC-Que Choisir concernant les conditions d’utilisation du service iTunes (devenu Apple Music) et les documents relatifs à la protection des données.
L’action, initiée en 2016, visait à contester le caractère abusif et illicite de plusieurs clauses contractuelles et dispositions relatives au traitement des données à caractère personnel. En première instance, le tribunal judiciaire de Paris avait retenu des manquements au droit de la consommation et au RGPD. Apple avait interjeté appel, contestant notamment la recevabilité de l’action et le bien-fondé des condamnations.
Sur la recevabilité, la Cour confirme qu’une association peut agir sans mandat au titre de l’article 80 du RGPD, tout en précisant que l’examen doit porter uniquement sur les clauses encore en vigueur.
Au fond, la Cour retient l’illicéité de plusieurs clauses relatives au traitement des données à caractère personnel, notamment en ce qui concerne la durée de conservation, les finalités et destinataires des données, les transferts internationaux, le profilage et l’exercice des droits des utilisateurs. Elle relève un défaut de clarté et de précision, les informations fournies ne permettant pas de satisfaire aux exigences de transparence prévues par le RGPD.
Sur le terrain du droit de la consommation, certaines clauses sont également jugées abusives. La Cour souligne leur caractère standardisé, leur manque de lisibilité et l’existence d’un déséquilibre significatif au détriment des utilisateurs, en raison notamment de formulations générales laissant une marge d’interprétation à l’opérateur.
Les documents « Apple Music et Confidentialité » et « Engagement de Confidentialité » ont été sanctionnés pour des motifs similaires.
S’agissant des sanctions, la Cour prend en compte la durée des manquements, le nombre d’utilisateurs concernés et la nature des clauses litigieuses, et porte les dommages-intérêts à 50 000 euros au titre de l’intérêt collectif des consommateurs.
Cette décision rappelle l’importance d’une rédaction claire, précise et transparente des conditions contractuelles, tant au regard du RGPD que du droit de la consommation, pour protéger les consommateurs.
- Pour lire la décision, cliquez ici
3. Le Conseil d’Etat confirme l’amende de 40 millions d’euros infligée à Criteo pour manquements au RGPD
Criteo fournit des services permettant l’affichage de publicités ciblées sur des sites internet gérés et hébergés par des tiers. A cette fin, elle collecte et traite, à l’aide de cookies, les données de navigation des personnes visitant des sites internet dont les gestionnaires ou les hébergeurs ont conclu des accords de partenariat rémunérés avec elle.
Le 4 mars 2026, le Conseil d’Etat confirme en tous ces points le raisonnement de la CNIL en retenant ce qui suit :
- Criteo a la qualité de responsable conjoint de traitement lorsqu’elle dépose les cookies sur les terminaux des visiteurs des sites internet gérés par ses partenaires commerciaux et la qualité de responsable de traitement lorsqu’elle exploite ensuite les données ainsi recueillies (notamment fin de configurer et d’améliorer les traitements algorithmiques de ciblage mis en œuvre par Criteo).
- Les données traitées par Criteo sont des données personnelles dans la mesure où elles sont pseudonymisées et que l’identification de certaines personnes ne serait techniquement pas impossible.
En conséquence de ces qualifications, Criteo a manqué aux obligations suivantes :
- Criteo n’a pas conclu d’accords conformes à l’article 26 du RGPD avec ses partenaires en qualité de responsables conjoints de traitement ;
- Criteo n’était pas en mesure de démontrer la preuve que le consentement des personnes concernées a bien été recueilli pour les traitements fondés sur le consentement ;
- Criteo n’a pas informé les personnes concernées conformément aux articles 12 et 13 du RGPD ;
- Criteo a manqué à ses obligations relatives au droit au retrait du consentement et à l’effacement des données : si les personnes n’étaient plus exposées à un affichage de publicités ciblées, leurs données étaient conservées et traitées pour l’amélioration des algorithmes.
Le Conseil d’Etat a enfin validé le montant de la sanction prononcée, retenant la gravité particulière des manquements commis, qui tient à la nature des exigences méconnues, au nombre d’utilisateurs concernés (370 millions d’identifiants d’utilisateurs dans l’Union Européenne, dont 50 millions d’identifiants en France), au fait que Criteo est un acteur majeur du secteur des services de publicité sur internet et à la circonstance qu’elle a tiré un gain direct des manquements retenus.
- Pour lire la décision, cliquez ici.
4. La Commission européenne et l’autorité irlandaise enquêtent sur X et son IA Grok
X (anciennement Twitter) fait l’objet de deux enquêtes distinctes mais complémentaires concernant son outil d’intelligence artificielle Grok, intégré à la plateforme depuis 2024 : la 1ère enquête est conduite par la Commission européenne quand la 2nde a été initiée par l’autorité irlandaise de protection des données.
La Commission européenne a ouvert fin janvier une procédure formelle d’examen au titre du Digital Services Act (DSA). Cette nouvelle enquête s’inscrit dans la continuité de celle lancée en décembre 2023, qui portait initialement sur la conformité générale de la plateforme. Elle est désormais étendue à l’évaluation spécifique des systèmes de recommandation de la plateforme et des fonctionnalités de Grok. Ces fonctionnalités permettent aux utilisateurs de produire des contenus textuels et visuels et d’intégrer des éléments contextuels à leurs publications.
La Commission examine d’éventuelles violations des articles 34(1) et (2) du DSA, relatifs à l’évaluation et à l’atténuation des risques systémiques, de l’article 35(1) sur les mesures d’atténuation spécifiques, ainsi que de l’article 42(2), imposant la réalisation et la transmission d’un rapport d’évaluation des risques avant le déploiement de nouvelles fonctionnalités.
Quant à l’autorité irlandaise chargée de la protection des données (DPC), elle a annoncé, le 17 février 2026, l’ouverture d’une enquête portant sur le traitement de données à caractère personnel par Grok. Cette procédure fait suite à la diffusion de contenus deepfake à caractère sexuel générés à partir de photos ou vidéos de personnes réelles, y compris des mineurs. La DPC vérifie notamment si X a respecté les principes du RGPD : licéité, loyauté et transparence du traitement, minimisation, exactitude des données, réalisation d’une analyse d’impact sur la protection des données, et protection dès la conception et par défaut.
Ces enquêtes illustrent la complémentarité du DSA et du RGPD : quand le DSA encadre la sécurité et la responsabilité des services en ligne, le RGPD régit le traitement des données à caractère personnel, y compris celles exploitées par les outils d’IA.
- Pour plus d’informations sur le sujet, cliquez ici.
5. La proposition de loi afin d’interdire l’accès des réseaux sociaux pour les mineurs de moins de 15 ans a été adoptée par l’Assemblée nationale
Face aux inquiétudes croissantes liées au cyberharcèlement, à l’exposition à des contenus inappropriés et aux effets sur le sommeil et la santé mentale, l’Assemblée nationale a adopté, le 26 janvier 2026, une proposition de loi visant à interdire l’accès aux réseaux sociaux aux mineurs de moins de 15 ans.
Cette proposition distingue les conditions d’accès de la manière suivante :
- Pour les services figurant sur une liste officielle de plateformes jugées susceptibles de nuire à l’épanouissement des mineurs de moins de 15 ans, l’accès reste interdit, même avec l’accord des représentants légaux ;
- Pour les autres plateformes, l’accès peut être autorisé uniquement avec l’accord explicite d’au moins un parent ou tuteur, précisant les contenus accessibles, la durée maximale quotidienne et les horaires d’utilisation.
Les contrats conclus en violation de ces dispositions seraient nuls de plein droit, et la mesure entrerait en vigueur le 1er septembre 2026.
L’effectivité de cette loi reposerait ainsi principalement sur les plateformes, qui doivent vérifier l’âge des utilisateurs. A cet égard, la Commission européenne a recommandé d’adopter des méthodes de vérification d’âge « précises, fiables, robustes, non intrusives et non discriminatoires » dans ses lignes directrices publiées le 14 juillet 2025 (lien). Une solution de vérification de l’âge a également été développée et est en phase de test (lien).
La proposition de loi est désormais soumise au Sénat et est discutée en séance publique le 31 mars 2026.
Le cadre européen impose déjà aux plateformes des exigences en matière de protection des mineurs. L’article 28 du DSA instaure des obligations adaptées à la nature du service, à ses fonctionnalités et aux risques identifiés, sans prévoir d’interdiction générale fondée sur l’âge.
A noter que WhatsApp vient d’annoncer qu’il lançait une messagerie « version préado », dédiée aux moins de 13 ans (contrôle parental renforcé, absence de publicité et de fonctionnalités d’intelligence artificielle). De notre point de vue, cette nouvelle version est liée au fait que WhatsApp a été désigné par la Commission européenne comme très grande plateforme pour ses services de chaines en janvier dernier et qu’il doit donc se conformer à des obligations plus strictes au titre du DSA d’ici la fin du mois de mai, notamment pour ce qui concerne les mineurs. Aucune mesure de vérification ou d’estimation de l’âge n’est mise en place pour cette version « pré-ado ». Meta se repose sur une action parentale et une déclaration de l’âge pour limiter les accès aux contenus des chaînes de WhatsApp par les mineurs. Il n’est pas précisé si Meta a évalué par ailleurs les risques systémiques liés à ces chaînes et si d’autres mesures ont été mises en œuvre pour en atténuer les conséquences. Il reste encore 2 mois à Meta pour y travailler.
- Pour plus d’informations sur le sujet, la proposition de loi votée par l’Assemblée nationale est ici et l’interview d’Emilie de Vaucresson dans les Echos sur la version préado de WhatsApp est ici.
