Les actualités RGPD du mois de mars 2026
Les principales actualités du mois
Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de mars 2026 :
- La CNIL a publié son bilan 2025 : sanctions et mesures correctives
- Elections municipales 2026 : comment protéger les électeurs
- Nouvelle décision d’adéquation entre le Brésil et la Commission européenne
- Le CEPD et l’EDPS soutiennent la simplification et la compétitivité du projet Omnibus numérique, tout en soulevant des préoccupations majeures
- Retour sur les sanctions CNIL
- Retour sur les dernières cyberattaques
La CNIL a publié son bilan 2025 : sanctions et mesures correctives
La CNIL a publié son bilan de 2025 pour ses sanctions et ses mesures correctrices.
Quelques chiffres clés :
- Il y a eu 259 décisions prises, dont 83 sanctions ;
- Le montant total des amendes s’élève à plus de 486 millions d’euros ;
- Il y a eu 143 mises en demeure et 31 rappels à l’ordre.
Parmi les 83 sanctions :
- 16 sanctions ont été prises par la formation restreinte (prononciation par la procédure ordinaire). Parmi celles-ci 4 décisions ont été adoptées en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD ;
- 67 sanctions ont été prises par son président seul ou par un membre de la formation, dans le cadre de la procédure simplifiée.
La CNIL a poursuivi les contrôles suite à la publication des lignes directrices et recommandations et a relevé des non-conformités notamment en matière de cookies et autres traceurs.
Il y a 4 thématiques qui dominent :
- Les cookies et les traceurs ;
- Le non-respect des règles applicables à la vidéosurveillance des salariés ;
- La sécurité insuffisante des données personnelles, l’absence de coopération avec la CNIL et le non-respect du droit des personnes ;
- Le non-respect des obligations pesant sur les sous-traitants.
Ce bilan démontre que la protection des données reste au cœur des priorités de l’autorité de contrôle.
L’objectif de conformité pour les entreprises en 2026 au vu des thématiques dominantes :
- Reprendre les politiques cookies et les moyens de recueil du consentement ;
- Vérifier les dispositifs de contrôle des salariés (vidéosurveillance) ;
- Renforcer la sécurité (gestion des accès, mots de passe, plan de gestion des incidents, etc.).
2. Elections municipales 2026 : comment protéger les électeurs
La protection des données est une question essentielle en matière d’élection et notamment dans la vie démocratique. La CNIL est souvent sollicitée par les personnes sur les mauvaises pratiques en la matière.
Depuis 2012, un observatoire des élections a été mis en place par la CNIL pour aider les partis politiques et les candidats à faire face aux différents enjeux. Il permet d’avoir un suivi des signalements dans le cadre des campagnes électorales.
Pour les élections municipales de 2020, environ 4 000 signalements ont été adressés à la CNIL, principalement dans les grandes agglomérations. Majoritairement, les signalements portaient sur les SMS (45%) et les appels téléphoniques (36%).
Dans le cadre du nouveau règlement européen relatif à la transparence et au ciblage de la publicité politique du 10 octobre 2025, l’autorité de contrôle veillera désormais au respect des règles applicables aux candidats, aux partis politiques et à leurs sous-traitants.
La CNIL a mis en place des ressources dédiées : cliquez ici
La CNIL a également mis en place une plateforme de signalement pour les électeurs en parallèle de sa mission d'accompagnement des candidats et des partis politiques. Cette plateforme permet à l’autorité de réagir rapidement en cas de manquement aux règles applicables.
Durant la période électorale, la CNIL renforce son accompagnement pour garantir le respect de la vie privée des citoyens et la conformité des campagnes politiques (RGPD, loi Informatique et Libertés). Pour ce faire, elle sensibilise les partis et les prestataires de logiciels électoraux aux bonnes pratiques. Parallèlement, elle collabore avec l'AMF pour former les élus locaux et met à disposition des outils pratiques pour faciliter l'application des règles de protection des données.
Comment être en conformité RGPD ?
3. Nouvelle décision d’adéquation entre le Brésil et la Commission européenne
Une décision d’adéquation mutuelle a été adoptée entre la Commission européenne et le Brésil, pour assurer que leurs niveaux de protection des données sont similaires.
Désormais, aucun encadrement n’est prévu pour le transfert de données depuis l’Union européenne vers le Brésil.
Sur la base de l’article 45 du RGPD, une décision d’adéquation est une décision que la Commission européenne adopte pour établir qu’un pays tiers ou une organisation internationale assure un niveau de protection des données adéquat. Cette décision autorise les transferts de données, sans exigence spécifique, des organismes européens vers des organismes de pays tiers. Une liste est consultable sur le site de la Commission européenne.
Ainsi, l’autorité a considéré que le Brésil apporte un niveau de protection équivalent à celui de l’Union européenne. Quant à l’autorité de protection des données du Brésil, elle a considéré que l’Union européenne proposait un niveau de protection compatible.
Toutefois, le CEPD invite la Commission européenne à assurer un suivi sur les aspects de la loi brésilienne notamment sur la réalisation des analyses d’impact relatives à la protection des données, les limitations de transparence liées au secret commercial et industriel et les règles relatives aux transferts ultérieurs de données.
Il convient de noter que la loi brésilienne relative à la protection des données, ne s’applique pas au traitement de données effectués par les autorités publiques concernant la sécurité publique, la défense nationale, la sécurité de l'État et de poursuites pénales.
4. Le CEPD et l’EDPS soutiennent la simplification et la compétitivité du projet Omnibus numérique, tout en soulevant des préoccupations majeures
Le comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données (EDPS) ont adopté un avis conjoint sur la proposition de règlement omnibus numérique.
L’omnibus vise à simplifier le cadre réglementaire de l’UE (le RGPD et la directive ePrivacy) pour renforcer la compétitivité des entreprises européennes en réduisant les charges administratives.
3 points d’inquiétude majeurs ont été relevé :
- Les deux autorités s’opposent à toute modification de la définition d’une donnée personnelle. Elles estiment que les changements proposés ne sont pas que de simples ajustements techniques et risquent de restreindre drastiquement le champ d’application du RGPD.
- Le maintien du contrôle humain face à l'intelligence artificielle. L’article 22 du RGPD pose un principe fondamental qui “ le droit pour toute personne de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé si celle-ci produit des effets juridiques ou l’affecte de manière significative.” Le projet Omnibus fait craindre un assouplissement de cet article. Les autorités indiquent qu’un regard humain critique est indispensable pour détecter les erreurs logiques ou les biais statistiques que l’IA ne perçoit pas et apporter les nuances ainsi que l’équité, là où l’algorithme n’applique qu’une logique binaire et rigide.
- Le projet veut alléger les obligations pour les petites et moyennes entreprises (PME). Le risque indiqué est qu’une PME peut traiter des données sensibles à grande échelle. Les autorités indiquent que c’est une bonne chose pour les PME mais cela ne doit pas être fait au détriment de l’information dûe aux personnes. Le protection doit dépendre du risque lié aux données, pas seulement de la taille de l’entreprise.
En revanche, les autorités se montrent favorables à certaines mesures de simplification qui ne nuisent pas aux droits :
- Elles acceptent de relever les seuils de risque et d’allonger les délais pour notifier une violation de données à l’autorité de protection des données compétente ;
- Elles soutiennent les efforts pour réduire le nombre de bannières de cookies inutiles, à condition que le choix de l’utilisateur reste clair.
Les autorités demandent aux législateurs européens de corriger le projet de texte pour éviter que la compétitivité économique ne se fasse au détriment des droits fondamentaux.
5. Sanctions CNIL
La CNIL sanctionne France Travail, pour manquement à la sécurité des données des personnes en recherche d’emploi
En 2024, des attaquants se sont introduits dans le système d’information de FRANCE TRAVAIL, en utilisant la technique de l’ingénierie sociale, permettant d’abuser de la confiance et de l'ignorance des personnes. Les attaquants ont usurpé l'identité des conseillers de Cap Emploi (organisme chargé de l'accompagnement des travailleurs en situation de handicap).
Les données touchées par la cyberattaque sont des données des personnes inscrites au cours des 20 dernières années, ayant un espace candidat (dont les numéros de sécurité sociale, adresses mail et postales et numéros de téléphone). Les attaquants n’ont pas eu accès à l’espace complet des candidats comprenant les données de santé.
La CNIL a révélé que les mesures techniques et organisationnelles mises en œuvre n’étaient pas suffisantes pour assurer la sécurité des données personnelles. Ainsi, l’autorité de contrôle a prononcé une sanction de 5 millions d’euros. La formation restreinte a imposé un calendrier à FRANCE TRAVAIL pour apporter les corrections nécessaires.
En l’espèce, la détermination du montant de l’amende n’a pas été effectuée selon le chiffre d’affaires mais sur une fourchette avec un plafond ne dépassant pas les 10 millions d’euros.
Pour rappel, la mise en œuvre de mesures techniques et organisationnelles relève de l’article 32 du RGPD. Voici les manquements constatés :
- les modalités d’authentification des conseillers n’étaient pas suffisamment robustes ;
- les mesures de journalisation sont insuffisantes pour détecter les comportements anormaux sur le système d’information ;
- les conseillers bénéficiaient d'accès trop larges, c’est-à-dire qu'ils pouvaient accéder à l’ensemble des données des personnes qu’ils n'accompagnent pas.
FRANCE TRAVAIL a conscience des manquements révélés par la CNIL et reconnaît être responsable. Des mesures renforcées ont donc été mises en place depuis deux ans, et a rendu la sensibilisation de ses collaborateurs obligatoires.
La CNIL sanctionne AMERICAN EXPRESS d’une amende de 1,5 million d’euros pour le non-respect des règles applicables en matières de cookies
AMERICAN EXPRESS est le 3ème émetteur de carte de paiement. En France, les cartes sont distribuées par le biais de banques tierces et également par le site internet d’AMERICAN EXPRESS FRANCE.
En 2023, la CNIL avait mené plusieurs contrôles notamment sur le site et au sein des locaux de la société.
L’autorité de contrôle a considéré que la société avait manqué aux règles relatives aux traceurs et a prononcé une amende de 1,5 million d’euros. AMERICAN EXPRESS FRANCE a déposé des traceurs sur le terminal des Utilisateurs sans recueillir leur consentement, dès l’arrivée sur le site et avant même l’affichage du bandeau cookie, plusieurs traceurs, à finalité publicitaire sont déposés sur le terminal.
Toutefois, même si l’Utilisateur refusait le dépôt de traceurs, ils étaient quand même déposés sur le terminal.
Enfin, si l’Utilisateur acceptait le dépôt et la lecture des traceurs et qu’ensuite il refusait, les traceurs précédemment déposés continuaient à être lus par la société.
La CNIL sanctionne avec la procédure simplifiée, 5 candidats aux élections européennes et législatives 2024
Un téléservice dédié a été mis en place par la CNIL dans le cadre des élections européennes et législatives de 2024, pour permettre aux citoyens d’adresser des signalements notamment en cas de réception de messages de prospection politique.
Après avoir mené des investigations, la CNIL a relevé plusieurs manquements au RGPD, et prononcé 5 sanctions financières dans le cadre de la procédure simplifiée.
- manquement à l’obligation de pouvoir justifier de la licéité du traitement : la CNIL considère qu’un candidat est responsable du traitement mis en œuvre même s’il décide de faire appel à une société externe pour l’envoi de messages de prospection. La preuve que les personnes concernées ayant consenti à recevoir de tels messages doit être apportée ou les conditions permettant de fonder l’intérêt légitime doivent être justifiées.
- manquement à l’obligation de traiter les données uniquement pour les finalités déterminées a été constaté par la CNIL. Un professionnel de santé a été sanctionné pour avoir utilisé des numéros de téléphone de ses patients via le suivi médical afin de leur adresser un message promouvant sa candidature aux élections.
- manquement à l’obligation d’assurer la confidentialité des données : les candidats ont adressé un courriel de prospection à des centaines de destinataires d’un même parti politique, sans utiliser la fonctionnalité de “copie cachée” (CCI) d’un mail permettant de garantir la confidentialité des destinataires.
- manquement à l’obligation de répondre à une demande d’exercice des droits : un candidat n’a pas répondu à une demande d’exercice des droits. Aucune réponse n’a été apportée à la demande toutefois la CNIL a prononcé une injonction de répondre à ces demandes.
- manquement à l’obligation de permettre et faciliter l’exercice du droit d’opposition : les candidats n’avaient mis en place aucune procédure pour gérer les demandes d’opposition des personnes concernées .
- manquement à l’obligation d’information des personnes : les candidats n’ont pas fourni les informations relatives au traitement toutefois, celles-ci doivent être transmises soit lors de la collecte, soit lors de l’envoi du premier message si les informations ont été recueillies par un tiers.
6. Retour sur les dernières cyberattaques
DGFIP : piratage de 1,2 million de comptes bancaires
Fin janvier 2026, des accès illégitimes ont été détectés par la DGFIP au fichier national des comptes bancaires (FICOBA). FICOBA recense les comptes bancaires ouverts dans les établissements français. Les identifiants d’un fonctionnaire ont été usurpés disposant d’un droit d’accès lié aux échanges d’informations entre ministères. Des données personnelles telles que les coordonnées bancaires (RIB/IBAN) ont été consultées, l’identité du titulaire, adresse et parfois l’identifiant fiscal de l’usager.
La DGFIP évoque 1,2 millions de comptes concernés par la consultation et l’extraction de données. Dès la détection de l’incident, des mesures spécifiques ont été mises en place pour restreindre l’accès et stopper l’attaque. Dans les prochains jours, les usagers recevront une information individuelle les informant qu’un accès à leur données a été constaté.
Rappel de vigilance de la part du gouvernement :
- des tentatives d’escroqueries circulent par SMS ou courriel afin d’obtenir des informations ou paiement de la part d’usager. En cas de doute, ne pas répondre.
- l’administration fiscale ne vous demande jamais vos identifiants et numéro de carte bancaire.
- conserver les preuves en cas de suspicion d’utilisation frauduleuse de vos données personnelles.
DARTY : victime de phishing et des données de 80 000 clients dérobées
L’enseigne DARTY a subi une cyberattaque et 80 000 clients sont concernés, ayant utilisé les outils pour concevoir leur cuisine (données d’identification, et des informations relatives au projet). Aucune information bancaire n’a été dérobée.
DARTY a déposé plainte et a informé la CNIL de la violation de données. Il convient d’être vigilant sur les emails reçus dans les semaines à venir.
Commission européenne : le système de téléphonie mobile attaqué
Le 30 janvier, un incident a été détecté à la Commission européenne touchant le système de téléphonie mobile dont les noms et numéros de téléphone de certains agents. Toutefois, aucune compromission des appareils n’a été détectée.
Le 6 février, l’autorité européenne a reconnu avoir subi une cyberattaque et a pu nettoyer son système dans un “délai de 9 heures”. Cependant, les détails apportés par la Commission restent flous.
Un examen sera mené pour vérifier la sécurité et la résilience des systèmes.
Face à cette cyberattaque, la Commission a proposé un nouveau projet Cybersecurity Act 2 qui se concentre sur la chaîne d’approvisionnement permettant d’écarter les fournisseurs jugés à risque. Toutefois, ce texte suscite des critiques : il renonce à imposer des critères de souveraineté pour l'obtention du futur label européen de confiance dédié au cloud.
Notre accompagnement dédié aux risques numériques
Découvrez nos solutions :
Découvrez nos filiales spécialisées :
Oppida
Oppida
LSTI
LSTI
SixFoisSept
SixFoisSept
Bonnes pratiques de la protection des données personnelles et stratégiques
