Blog
Actualités

10 actualités RGPD à retenir en septembre 2025

En septembre 2025, l’actualité RGPD a été marquée par des sanctions record de la CNIL, l’entrée en vigueur du Data Act, la validation du Data Privacy Framework et de nouvelles obligations pour les entreprises en matière de données, d’IA et de transparence.

Par
Alessandro Fiorentino
1
Min
Partagez cet article
Actualités de protection des données avec un cadenas

En septembre 2025, la régulation des données personnelles se renforce partout dans le monde. Des sanctions record de la CNIL, l’entrée en vigueur du Data Act, les clarifications sur les transferts UE–US et des affaires médiatiques comme Disney montrent l’importance de rester conforme. Découvrez les 10 actualités RGPD clés et les conseils pratiques pour DPO, RSSI et dirigeants.

CNIL sanctionne Google : 325 millions d’euros pour publicités et cookies

La CNIL a infligé à Google une amende de 325 millions d’euros pour avoir :

  • Affiché des publicités entre les courriels des utilisateurs de Gmail sans leur consentement préalable
  • Déposé des cookies lors de la création de comptes Google, sans obtenir un consentement valide des utilisateurs français

Cette sanction s'inscrit dans la continuité des actions de la CNIL pour réguler les pratiques non-conformes en matière de suivi et de ciblage des internautes.

Le Data Act entre en application : impacts sur IoT et cloud

Le Data Act est désormais en vigueur, imposant un accès équitable aux données générées par les produits connectés et les services cloud.

Points clés :

  • Accès utilisateur aux données de leurs objets connectés
  • Partage équitable des données entre entreprises pour favoriser l’innovation
  • Interopérabilité cloud pour faciliter le changement ou l’usage simultané de services
  • Protection contre l’accès illégal des gouvernements tiers

Implications pratiques :

  • Réviser les contrats fournisseurs pour intégrer le partage de données
  • Mettre en place des mécanismes de transparence et de gouvernance

Arrêt de la CJUE : les données pseudonymisées ne sont pas toujours personnelles

La Cour de justice de l'Union européenne (CJUE) a rendu un arrêt marquant concernant la qualification des données pseudonymisées. Elle a confirmé que ces données peuvent, selon les circonstances, perdre leur caractère de données personnelles, notamment lorsque le destinataire ne dispose pas des moyens raisonnablement accessibles pour réidentifier les individus concernés.

Cette décision nuance l'approche antérieure, selon laquelle toutes les données pseudonymisées étaient systématiquement considérées comme personnelles.

Shein sanctionné : 150 millions d’euros pour cookies illégaux

La CNIL a condamné Shein à une amende de 150 millions d’euros pour avoir déposé des cookies publicitaires avant d'obtenir le consentement des utilisateurs sur le site "shein.com". Cette décision souligne l'importance pour les sites e-commerce de :

  • Obtenir un consentement explicite avant toute collecte de données
  • Mettre en place des mécanismes de gestion des cookies conformes aux exigences du RGPD

Disney règle une affaire sur les données des enfants

La FTC a annoncé que Disney versera 10 millions de dollars pour régler des allégations concernant la collecte illégale de données personnelles d'enfants sur YouTube. Les entreprises opérant dans le secteur des enfants doivent :

  • Se conformer strictement à la Children’s Online Privacy Protection Act (COPPA)
  • Mettre en place des politiques de confidentialité adaptées et obtenir le consentement parental vérifiable

Tribunal de l’UE confirme le Data Privacy Framework

Le Tribunal de l'Union européenne a rejeté le recours contre le Data Privacy Framework (DPF), validant ainsi les transferts de données entre l'UE et les États-Unis. Les entreprises doivent :

  • Vérifier que leurs clauses contractuelles types sont à jour
  • Assurer une surveillance continue de la conformité aux normes de protection des données

EDPB publie des lignes directrices sur DSA et RGPD

L'EDPB a adopté des lignes directrices clarifiant l'interaction entre le Digital Services Act (DSA) et le RGPD. Les plateformes numériques doivent :

  • Concilier les obligations de modération de contenu avec les exigences de protection des données
  • Mettre en place des processus internes garantissant le respect des deux régulations

Partage de données personnelles avec les États-Unis : le CEPD exige des garanties renforcées

Le Contrôleur européen de la protection des données (CEPD) souligne que tout partage de données personnelles avec les États-Unis, y compris biométriques, doit être accompagné de garanties solides pour protéger les droits des individus.

Points clés :

  • Nécessité et proportionnalité : les données doivent être traitées uniquement si nécessaire
  • Exclusion des transferts massifs : notamment pour migration et asile
  • Transparence et information : les individus doivent être informés et avoir accès à des recours judiciaires

Cet accord-cadre pourrait devenir le premier échange à grande échelle de données personnelles entre l’UE et un pays tiers, renforçant la protection des droits fondamentaux..

CNIL sanctionne La Samaritaine pour caméras dissimulées

La CNIL a infligé une amende de 100 000 € à SAMARITAINE SAS pour avoir installé des caméras cachées dans les réserves, enregistrant également le son, sans informer les salariés. Cette pratique viole le RGPD et le principe de transparence envers le personnel.

Consultation de l’UE sur la transparence des systèmes d’IA

La Commission européenne a lancé une consultation publique pour élaborer des lignes directrices et un code de bonnes pratiques sur les obligations de transparence des systèmes d’IA, conformément à l’Article 50 du règlement AI Act. Les fournisseurs doivent informer clairement les utilisateurs lorsqu’ils interagissent avec des systèmes d’IA, notamment en marquant les contenus générés ou manipulés par l’IA.

Les dernières actus

Conformité RGPD et bonnes pratiques

Rédiger une politique de confidentialité et des mentions d’information conformes au RGPD, claires, transparentes et accessibles à tous

Rédiger une politique de confidentialité conforme au RGPD est un passage essentiel pour inspirer confiance et assurer la transparence dans le traitement des données personnelles. Ce guide pratique explique comment concevoir des documents lisibles, accessibles et efficaces pour vos utilisateurs.

Anne-Angélique de Tourtier
Conformité RGPD et bonnes pratiques

RGPD et Ressources Humaines : les 5 erreurs qui coûtent cher aux entreprises

Les Ressources Humaines sont en première ligne du RGPD : recrutement, paie, formation, santé au travail… chaque étape expose les données personnelles des salariés. Conservation excessive, envois d’emails erronés ou contrats incomplets : ces erreurs coûtent cher. Adopter les bons réflexes permet aux RH d’assurer la conformité et de renforcer la confiance des collaborateurs.

Guillemette Songy
Produit

Adequacy V6.1 : le logiciel RGPD qui intègre la conformité à l’AI Act

Adequacy V6.1 centralise la conformité RGPD et AI Act en offrant aux DPO, juristes et responsables conformité une solution modulable pour cartographier, évaluer et piloter leurs Systèmes et modèles d’IA tout en automatisant les obligations réglementaires européennes.

Alessandro Fiorentino

Ils nous font confiance depuis des années

Utilisé par plus de 10 000 entités juridiques

Découvrez Adequacy

Un de nos experts vous présente comment Adequacy s’adapte à votre réalité terrain.
Demander un devis