Privacy & IA : le grand basculement de février 2026

L’année 2026 ne sera pas celle d’une simple mise à jour réglementaire, mais celle d’une véritable mutation génétique de la conformité.

‍

Fini l'époque où le simple respect du RGPD suffisait à rassurer les partenaires et les régulateurs. En ce mois de février 2026, nous assistons à la convergence explosive de trois mondes : l'intelligence artificielle, la cybersécurité durcie et la protection des données ultra-sensibles.

‍

Entre une CNIL qui change de dimension, des cyberattaques systémiques et une pression financière record, voici le décryptage des 9 actualités qui redéfinissent votre agenda de DPO, RSSI et décideurs.

‍

‍

La CNIL devient l'autorité de surveillance de l'AI Act en France

‍

‍

Le 12 février 2026 restera une date clé. Le gouvernement a déposé un amendement historique modifiant la loi Informatique et Libertés de 1978 pour désigner la CNIL comme autorité nationale de surveillance de l'AI Act. Ce n'est plus seulement une mission de conseil. La CNIL dispose désormais de compétences régaliennes pour :

‍

• Sanctionner les IA interdites, notamment le social scoring (notation sociale), une ligne rouge absolue en Europe
• Auditer la transparence pour vérifier que les systèmes à haut risque comme la biométrie ou l'analyse d'émotions au travail ne sont pas des boîtes noires
• Imposer le marquage (Watermarking) conformément à l'article 50 de l'AI Act, car tout contenu généré par IA doit être identifiable

‍

‍

Analyse des cyberattaques majeures : focus sur l'UNSS

‍

‍

La cyberattaque contre le site de l'Union nationale du sport scolaire (UNSS) a provoqué une onde de choc nationale. Les données d'un million et demi de collégiens et lycéens (noms, adresses, contacts des parents) ont été compromises. La CNIL a fait de la protection des mineurs sa priorité absolue pour 2026. Le secteur associatif et parapublic est souvent le maillon faible : cet incident rappelle que le volume de données gérées impose une sécurité proportionnelle.

‍

‍

Analyse des cyberattaques majeures : focus sur Cegedim

‍

‍

Le secteur de la santé n'est pas épargné. L'attaque contre le géant Cegedim, acteur critique et hébergeur de données de santé (HDS), souligne la vulnérabilité de nos infrastructures vitales. Quand un acteur de cette taille vacille, c'est tout l'écosystème de soin (pharmacies, médecins, assureurs) qui est paralysé. Cet incident valide l'urgence de la directive NIS2 : la sécurité informatique est désormais une question de continuité de la vie de la nation.

‍

‍

Sanctions CNIL : bilan 2025 et jurisprudence France Travail

‍

‍

Le 9 février, la CNIL a publié son rapport annuel. Le chiffre est sans appel : 486 millions d'euros d'amendes cumulées en un an. La phase de pédagogie amorcée en 2018 est officiellement enterrée. Le régulateur cible désormais en priorité :

‍

• Le traçage publicitaire intrusif
• La surveillance disproportionnée des salariés en télétravail
• Le défaut de sécurisation basique des bases de données

‍

La sanction de 5 millions d'euros infligée à France Travail pour défaut de sécurité (authentification forte défaillante) fait jurisprudence. C'est un signal clair : la CNIL n'hésitera plus à sanctionner les organismes publics si leur architecture technique ne répond pas aux standards de l'état de l'art.

‍

‍

NIS2 et EHDS : les nouveaux piliers de la conformité technique

‍

‍

NIS2 : l'heure de vérité pour les "Entités Essentielles"

‍

Février 2026 marque le début des premiers audits de conformité pour la directive NIS2. Il n'y a plus de cloison étanche entre la privacy et la cyber. Un incident de sécurité est, dans l'immense majorité des cas, une violation de données personnelles. La collaboration entre le DPO et le RSSI n'est plus optionnelle : elle est le socle de la survie réglementaire.

‍

EHDS : le compte à rebours de la donnée de santé

‍

Parallèlement, l’Espace européen des données de santé (EHDS) entre dans une phase opérationnelle. Les entreprises de la health tech doivent désormais concevoir des systèmes permettant l’utilisation secondaire des données pour la recherche, tout en garantissant un anonymat irréversible. C'est le défi du privacy-by-design poussé à son paroxysme.

‍

‍

La CNIL scrute votre business model

‍

‍

Le 2 février, la CNIL a lancé son programme d'analyse économique pour comprendre comment la donnée est monétisée. Si votre rentabilité dépend du courtage de données ou du profilage massif, le régulateur questionnera la légitimité éthique de votre valeur financière. La conformité s'invite désormais dans vos tableurs Excel.

‍

‍

Safer Internet Day : Protéger la "Génération IA"

‍

‍

Enfin, le 10 février, la 23e édition du Safer Internet Day a mis en lumière les dangers des deepfakes et du harcèlement automatisé. La France se dote d'outils pour sanctionner les plateformes qui ne filtrent pas les contenus IA malveillants, protégeant ainsi la génération IA d'une manipulation informationnelle sans précédent.

‍

‍

FAQ - les enjeux de la conformité IA et RGPD en 2026

‍

‍

Quel est le rôle de la CNIL concernant l'AI Act ?

‍La CNIL est désignée comme l'autorité nationale de surveillance de l'AI Act en France. Elle a le pouvoir de sanctionner les pratiques interdites et d'auditer la transparence des systèmes d'intelligence artificielle à haut risque.

‍

Quelles sont les priorités de la CNIL pour les contrôles en 2026 ?

‍Le régulateur se concentre sur la protection des données des mineurs, la sécurité des données de santé, le traçage publicitaire et la surveillance des salariés.

‍

Comment la directive NIS2 impacte-t-elle la protection des données ?

‍La directive NIS2 impose des audits de sécurité stricts. Elle renforce le lien entre RSSI et DPO, car toute faille de sécurité informatique majeure constitue généralement une violation de données personnelles au sens du RGPD.