Les Actualités RGPD du mois de septembre 2025
Les principales actualités du mois
Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de septembre 2025 :
- Comptes inactifs : la durée de conservation imposée par le RGPD.
- Les autorités compétentes pour la mise en oeuvre de l’IA Act
- Retour sur les dernières cyberattaques
- Les récentes sanctions de la CNIL
1. Comptes inactifs : la durée de conservation imposée par le RGPD
Le principe de durée de conservation imposé par le RGPD doit être limité au regard de l’objectif poursuivi, sur support papier ou numérique. La CNIL rappelle que pour les activités commerciales impliquant la création des comptes en ligne, l'organisme doit fixer une durée de conservation pour les comptes inactifs dont les utilisateurs ne se connectent plus. La durée de 2 ans a été jugée proportionnée, ainsi il est recommandé d’en avertir les utilisateurs pour leur permettre de maintenir leur compte actif.
Le secteur de l’audiovisuel et du jeu vidéo est un cas particulier : un accès sans interruption aux contenus numériques achetés doit être garanti (Code de la consommation) car le compte personnel sert de vidéothèque pour l’utilisateur lui permettant de retrouver ses films et séries à tout moment. Dans ce cas, certaines données doivent être conservées même si le compte est inactif depuis plus de 2 ans. Par exemple l’e-mail, le nom et prénom ou les sauvegardes effectuées au sein des jeux sont des données qui doivent être conservées. Ainsi, les données à des fins commerciales ou statistiques ne sont pas concernées et leur conservation doit être limitée.
La CNIL recommande donc de mettre en place des mesures techniques et organisationnelles tout en préservant les droits de l’utilisateur sur les contenus concernés.
Comment être en conformité RGPD ?
➔ Découvrez notre accompagnement RGPD
2. Les autorités compétentes pour la mise en œuvre de l’IA Act
La DGE et la DGCCRF ont publié le projet désignant les autorités nationales compétentes en matière de réglementation européenne sur l’IA. La désignation a été faite sur une coordination des deux directions et une priorisation des autorités existantes selon leurs compétences.
Avec l’appui de l’ANSSI et du PEReN (Pôle d’expertise de la régulation numérique), les autorités compétentes pourront intervenir selon leur domaine d’expertise pour garantir le meilleur partage d’expertise technique entre les régulateurs de façon décentralisée pour maximiser son efficience et son efficacité.
Le schéma proposé a pour objectif de garantir une confiance dans l’IA en tant que protecteur des utilisateurs pour ainsi permettre l’innovation. L’IA Act ne vise pas à réguler la technologie en elle-même mais vise à poser les règles selon le niveau de risque du système d’IA. Plusieurs niveaux d’IA sont détaillés et certaines sont interdites. Un encadrement spécifique est prévu pour les IA à haut risque en raison des défaillances éventuelles. Les IA générant du contenu doivent permettre d’identifier leur origine. Et les IA à risque minimal sont invitées à suivre les codes de conduite. Pour cela, les autorités désignées, et selon leur champ de compétence, devront faire respecter ces obligations.
Voici la liste des autorités compétentes :
- la CNIL : la Commission nationale Informatique et Libertés
- la DGCCRF : Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes
- l’ARCOM : Autorité de régulation de la communication audiovisuelle et numérique
- l’HFDS des MEFSIN et MATTE : Haut fonctionnaire de défense et de sécurité du Ministère de l’Economie des Finances
- l’ACPR : Autorité de contrôle prudentiel et de résolution
- Certaines autorités judiciaires : Conseil d’Etat ; Cour de cassation et Cour des Comptes
- la DG Travail
- l’ANFR : agence nationale des fréquences
- Le secrétariat général du MASA : Ministère de l’Agriculture et de la Souveraineté alimentaire
- La DGPR : Direction générale de la prévention des risques
- L’ANSM : Agence nationale de sécurité du médicament et des produits de santé
- La DGALN : direction générale de l'aménagement, du logement et de la nature
- La DGAMPA : Direction générale des affaires maritimes, de la pêche et de l'aquaculture
3. FOCUS SUR LES DERNIERES CYBERATTAQUES PUBLIEES
Des hôpitaux de Hauts-de-France victimes d’une cyberattaque
Début septembre 2025, des tiers non autorisés ont subtilisé des données d’identité de patients. Le groupe régional d’appui au développement de la e-santé Hauts-de-France a constaté, en lien avec les autorités nationales et l’Agence Régionale de Santé (ARS) Hauts-de-France, qu’une cyberattaque aurait été menée contre les serveurs sur lesquels sont hébergés des données d’identité de patients d’hôpitaux publics de la région.
Le cyber attaquant s’est introduit dans les serveurs partagés par les centres hospitaliers des Hauts-de-France en usurpant l’identité d’un professionnel de santé. L’intrusion se limiterait aux données d’identité (nom, prénom, âge, le cas échéant numéro de téléphone, adresse mail, etc.) des patients dont les données se trouveraient sur ces serveurs.
Le communiqué de presse de l’ARS des Hauts-de-France indique qu’aucune donnée contenue dans les dossiers médicaux des patients ne serait concernée par cette cyberattaque. Ainsi, qu’aucune information relative à l’objet de la consultation, ou de la prise en charge, le lieu, la date, le professionnel de santé ou le service, l’état de santé du patient, n’aurait été consulté.
Cette cyberattaque n’aurait pas impacté les hôpitaux de la région et les services numériques de santé de la région.
Afin d’éviter ces risques, il est donc recommandé :
- de mettre en place un mot de passe de 12 caractères avec un chiffre, une majuscule et un caractère spécial.
- de changer les mots de passe tous les ans.
- de faire attention aux mails reçus pour les patients, provenant des hôpitaux et qui impliquent une demande de paiement ou d’informations. En cas de doute, il est toujours préférable de contacter directement par téléphone le service concerné.
Plusieurs aéroports européens perturbés par une cyberattaque massive
Le samedi 20 et dimanche 21 septembre, une cyberattaque massive a touché plusieurs aéroports européens et a provoqué d’importantes perturbations notamment à Bruxelles, Londres et Berlin. Le lundi 22 septembre, l’agence européenne chargée de la cybersécurité (ENISA) a déclaré que ces difficultés avaient bel et bien été causées par une cyberattaque menée par un tiers. Le communiqué précise “Le type de rançongiciel a été identifié. Les forces de l’ordre ont été saisies pour mener l’enquête.”
L’attaque ne visait pas des aéroports ou des compagnies aériennes en particulier, mais affectait le logiciel de Collins Aerospace, dont les systèmes aident les passagers à s’enregistrer à imprimer des cartes d’embarquement et des étiquettes de bagages, et à expédier leurs bagages à partir d’un kiosque.
La société a affirmé être dans la phase finale des mises à jour nécessaires pour rétablir un fonctionnement normal. Cette cyberattaque a contraint les compagnies à procéder manuellement aux opérations d’enregistrement et d’embarquement, entraînant des retards et annulations.
4. Les récentes sanctions de la CNIL
La SAMARITAINE : 100 000 euros d’amende sanctionnée pour avoir dissimulé des caméras
En août 2023, la Samaritaine a placé de nouvelles caméras dans les réserves. Dissimulées sous l'apparence de détecteurs de fumée, elles enregistraient également le son. Elles ont été découvertes par les salariés, puis ont été retirées en septembre 2023.
Un article de presse a attiré l’attention de la CNIL et une plainte a été déposée peu après. L’autorité a alors réalisé un contrôle et a prononcé une sanction de 100 000 euros pour plusieurs manquements au RGPD. Pour rappel, il est possible de dissimuler des caméras dans des cas particuliers et à condition qu’il y ait un équilibre entre l’objectif poursuivi et la protection de la vie privée des salariés. Ce dispositif doit être temporaire et disposer d’une analyse de risques et d’impacts pour vérifier sa compatibilité avec le RGPD.
La Samaritaine a été sanctionné pour les manquements suivants :
- à l'obligation de traiter les données de manière loyale et un manquement au principe de responsabilité : les caméras qui filment les salariés doivent être visibles et non dissimulées. Le responsable de traitement peut temporairement installer des caméras non visibles par les salariés mais il doit avoir analysé la compatibilité du dispositif avec le RGPD et pouvoir le justifier. La Samaritaine a justifié l’installation des caméras par l’existence de vols dans les réserves et en indiquant que le dispositif était temporaire. Toutefois, aucune analyse n’a été menée. Ce dispositif n’était ni mentionné dans le registre des traitements et n’a fait ni l’objet d’une analyse d’impact. Le DPO n’en était pas informé.
- au principe de minimisation : des micros étaient installés sur les caméras et des conversations ont été enregistrées. La CNIL a considéré que l’enregistrement sonore était excessif.
- à l’obligation d’associer le DPO aux questions relatives à la protection des données : la DPO a été informée du dispositif que quelques semaines après l’installation des caméras. Toutefois, même en étant informée en aval, elle était en mesure d’alerter la société sur les moyens à mettre en œuvre pour en limiter les risques pour la protection des données des salariés.
Google : 325 millions d’euros d’amende pour l’affichage de publicités entre les courriels des utilisateurs de Gmail sans leur accord
La CNIL a été saisie d’une plainte de l’organisation NOYB et a mené un contrôle sur Gmail et sur le parcours de création d’un compte Google.
L’autorité a constaté que Google affichait des publicités via les onglets “Promotions” et “Réseaux sociaux” sur Gmail. Ces publicités prenaient la forme de mails. Toutefois, la CNIL a considéré que cela nécessitait le recueil d’un consentement des utilisateurs de Gmail, selon le Code des postes et des communications électroniques.
De plus, il a été constaté qu’en créant un compte Google, les utilisateurs sont incités à choisir les traceurs liés aux publicités personnalisées mais ne le sont pas pour les publicités génériques. Ils ne sont pas non plus informés du dépôt de ces traceurs sur leur terminal.
La formation restreinte de la CNIL a prononcé deux amendes d’un montant total de 325 millions d’euros contre Google (Google LLC et Google Ireland Limited), ainsi qu’une injonction d’un délais de 6 mois pour mettre en place des mesures permettant d’arrêter l’affichage d’annonces publicitaires entre les courriels reçus par l’utilisateur de Gmail sans consentement préalable. Chacun devra payer 100 000 euros par jour de retard.
A savoir que le montant de ces amendes ne prend en compte que les utilisateurs résidants en France. Les sociétés ont fait preuve de négligence, selon la formation restreinte, alors qu’elles avaient été sanctionnées par la CNIL en 2020 et 2021 pour manquement en matière de traceurs.
Shein condamnée à 150 millions d’euros d’amende par la CNIL pour des cookies déposés sans consentement
Le groupe SHEIN commercialise des vêtements, chaussures et accessoires via son site internet “shein.com” qui est géré par Infinite Styles Services Co. Limited, basé en Irlande pour le territoire européen.
En août 2023, le CNIL a procédé au contrôle du site web et a estimé que Infinite Styles Services Co. Limited avait manqué à ses obligations en matière de cookies et lui a infligé une amende de 150 millions d’euros.
Ces manquements sont :
- le défaut de recueil du consentement des utilisateurs avant le dépôt de cookies ;
- deux interfaces relatives à la gestion de cookies sont incomplètes ;
- aucune information sur l’identité des tiers susceptibles de déposer des cookies n’a été fournie à un second niveau d’information, accessible via le bouton “Paramétrer les cookies” ;
- des mécanismes inadéquats de refus et de retrait du consentement.
La commission restreinte a indiqué que le montant de l’amende tenait compte du fait que l’entreprise avait manqué à plusieurs obligations en plaçant des cookies sans le consentement des internautes et que des sanctions avec manquements similaires avaient été rendues publiquement.
La commission a aussi prit en considération dans sa sanction, l’ampleur du traitement, compte tenu de la position centrale de l’entreprise, avec une moyenne de 12 millions de personnes résidant en France et visitant le site web.
Lors de ses délibérations, la commission restreinte a constaté que la société avait apporté des modifications à son site Internet au cours de la procédure et qu’il n’était donc pas nécessaire d’émettre des ordonnances de conformité.
Société Orange : Clôture de l’injonction
Pour rappel, en novembre 2024, la CNIL avait prononcé une sanction de 50 millions d’euro à l’encontre d’Orange pour avoir :
- d’une part, affiché entre les courriels des utilisateurs, des annonces publicitaires prenant la forme de courriels, sans recueillir le consentement des utilisateurs ;
- et d’autre part, lorsque le consentement au dépôt de traceurs était retiré par les utilisateurs, ils continuaient à être lus.
La société avait mis en place des mesures pour corriger le premier point, toutefois, la formation restreinte de la CNIL a prononcé une injonction d’un délai de 3 mois concernant le second point (100 000 euros par jour de retard).
Dans les délais impartis, la société a démontré que les utilisateurs pouvaient retirer leur consentement et que plus aucune lecture des traceurs n'avait lieu sur le site. L’injonction a donc été clôturée le 11 septembre 2025.
Notre accompagnement dédié aux risques numériques
Découvrez nos solutions :
Découvrez nos filiales spécialisées :
Oppida
Oppida
LSTI
LSTI
SixFoisSept
SixFoisSept
[Guide] Les bonnes
pratiques RGPD
Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !