L’ère du flou artistique concernant le traçage des emails est officiellement terminée. Après une phase de consultation intense en 2025, la CNIL a adopté, le 12 mars 2026, sa recommandation officielle concernant les pixels de suivi.

Pour les directions marketing et commerciales, ce texte n’est plus une simple piste de réflexion : c’est la règle du jeu. Si vous utilisez des « pixels invisibles » pour savoir qui ouvre vos emails, voici ce que vous devez impérativement savoir pour rester en conformité.

1. Le principe juridique : L’équipement terminal est protégé

La CNIL confirme que l’insertion d’un pixel (image de 1×1) dans un courriel constitue une opération « d’accès ou d’inscription d’informations » dans le terminal de l’utilisateur (smartphone, ordinateur).
• Conséquence : L’article 82 de la Loi Informatique et Libertés s’applique.
• La règle : Le consentement préalable est obligatoire avant toute lecture ou écriture, sauf exceptions très limitées.

2.Ce qui change avec la Recommandation du 12 mars 2026

Contrairement aux idées reçues, la CNIL ne bannit pas les pixels, mais elle encadre strictement leur finalité :

• Le traçage individuel = Consentement obligatoire. Si vous voulez savoir que « M. Durand a ouvert votre email à 10h22 », vous devez avoir obtenu son accord explicite, libre, spécifique et éclairé.
• La délivrabilité et l’audience agrégée : La recommandation apporte des nuances sur les statistiques purement anonymes et globales, mais dès que la donnée est liée à une adresse email ou un identifiant client, le consentement redevient la norme.
• La responsabilité du donneur d’ordre : Le texte précise que l’utilisation d’une plateforme d’emailing (SaaS) ne vous dédouane pas. Vous êtes responsable des traceurs déposés par vos prestataires.

 

3.Focus : Le « délai de grâce » de 3 mois pour vos bases actuelles

C’est l’un des points majeurs de la version du 12 mars 2026 :

Pour les adresses électroniques déjà collectées avant la publication, les entreprises disposent d’un délai maximal de 3 mois pour :

1. Délivrer une information claire et accessible aux destinataires.
2. Mettre les personnes en capacité de s’opposer à ces opérations pour les courriels futurs si le consentement n’avait pas été recueilli selon les nouvelles modalités.

 

4. Conclusion : Un levier de confiance

La CNIL rappelle que l’email est un espace privé. En respectant cette recommandation, vous ne faites pas que de la conformité : vous protégez la relation client. Les entreprises qui persisteront dans le traçage « furtif » s’exposent désormais à des sanctions simplifiées.

Sources : * Recommandation de la CNIL du 12 mars 2026 relative aux pixels de suivi.

lien vers le site de la CNIL : https://www.cnil.fr/fr/pixels-de-suivi-dans-les-courriers-electroniques-vous-devez-etre-mieux-informes

• Lignes directrices 2/2023 du CEPD sur l’article 5(3) de la directive ePrivacy.
• Article 82 de la loi Informatique et Libertés.

C’est l’outil indispensable pour suivre les traitements de données d’une entreprise. Souvent perçu comme une corvée administrative, le Registre des Activités de Traitement est en réalité le « GPS » de la donnée dans votre organisation.

En 2026, avec l’explosion des outils d’IA et des flux de données mondiaux, il s’agit de transformer cette obligation en un véritable levier de sécurité et de performance.

---

1. La Création : Poser la première pierre

Créer son registre, c’est réaliser une cartographie des risques. Ce n’est pas seulement lister des fichiers, c’est comprendre comment votre organisation respire. Pour chaque traitement (paie, marketing, vidéosurveillance), vous devez identifier :

• Qui ? (Responsable, sous-traitants).
• Quoi ? (Noms, e-mails, données de santé).
• Pourquoi ? (La finalité : à quoi ça sert ?).
• Où ? (Stockage Cloud UE, serveurs locaux, hors UE).

---

2. La Mise à Jour Continue : Un document vivant

C’est ici que le bât blesse : un registre créé il y a deux ans et jamais retouché n’a aucune valeur juridique en cas de contrôle.

Le registre doit évoluer à chaque changement :

• Adoption d’un nouvel outil (ex: passage à un CRM IA).
• Changement de prestataire (ex: nouvel hébergeur).
• Évolution des processus RH (ex: mise en place du télétravail avec suivi).

Le conseil du DPO : Intégrez le réflexe « Données » dès le début de chaque projet (Privacy by Design). Si le projet bouge, le registre suit.

---

3. Quels supports choisir ?

Le RGPD impose un format écrit, mais le support est libre.

• Le Tableur (Excel/Sheets) : Gratuit et flexible, mais devient vite ingérable en mode collaboratif (risque de doublons et d’erreurs).
• Le Logiciel SaaS Dédié : Idéal pour l’automatisation, les rappels de mise à jour et la vision globale. C’est l’outil de la maturité.
• Le format papier : À proscrire, sauf pour les micro-structures, tant il est impossible à actualiser en temps réel.

---

4. Le rôle clef du DPO : Le chef d’orchestre

Le DPO n’est pas forcément celui qui saisit chaque donnée, mais il est l’architecte du système. Il conçoit la structure, sensibilise les métiers pour faire remonter les infos, analyse les risques et devient l’interlocuteur unique de la CNIL en cas de contrôle. Sans lui, le registre reste une coquille vide.

---

5. La Checklist 2026 : 10 points

Est-ce que votre registre comporte tous ces éléments?

1. L’inventaire exhaustif 

Ne laissez aucun outil dans l’ombre. Vérifiez que les outils adoptés « à la volée » par les équipes (Shadow IT) y figurent : nouveaux outils d’IA générative, applications SaaS de gestion de projet, ou outils de messagerie éphémère. Si vos équipes utilisent ChatGPT ou Claude pour traiter des données, cela doit être inscrit.

• Ex 1 : Les convertisseurs PDF en ligne utilisés par les stagiaires.
• Ex 2 : Les groupes WhatsApp « pro » créés sans l’aval de l’IT.
• Ex 3 : Les versions d’essai d’outils de gestion de projet (Notion, Trello) contenant des noms de clients.

2. Les finalités précises

L’imprécision est une faute. Oubliez les mentions comme « Amélioration de l’expérience client ». La CNIL exige une finalité explicite.

• Ex 1 : « Suivi des visites médicales obligatoires » (au lieu de « Gestion RH »).
• Ex 2 : « Envoi d’offres promotionnelles par SMS » (au lieu de « Marketing »).
• Ex 3 : « Vidéosurveillance des accès parking » (au lieu de « Sécurité »).

3. La base légale « bétonnée »

Chaque donnée doit avoir un « permis » d’exister. En 2026, la CNIL est intransigeante sur le choix entre Consentement et Intérêt Légitime. Pour ce dernier, avez-vous documenté votre base de traitement ? Si ce n’est pas le cas, le traitement est juridiquement fragile.

• Ex 1 : Intérêt Légitime pour l’enregistrement des appels au support.
• Ex 2 : Obligation Légale pour la conservation des bulletins de paie.
• Ex 3 : Consentement Explicite pour la géolocalisation sur application mobile.

4. Le lien avec le « Journal des Purges »

Prouvez que vous supprimez réellement les données périmées. Il ne suffit plus d’indiquer « Conservation : 3 ans ». Vous devez pouvoir prouver que la suppression a réellement eu lieu. Votre registre doit renvoyer vers des preuves techniques (scripts de purge, certificats de destruction, ou logs de suppression automatique).

• Ex 1 : Script de suppression des comptes inactifs depuis 3 ans.
• Ex 2 : Certificat de broyage pour les archives papier.
• Ex 3 : Anonymisation des logs de connexion après 13 mois.

5. La sécurité granulaire

« Sécurité classique » ne veut plus rien dire. La mention « Mesures techniques classiques » est devenue une faute. Vous devez lister : l’utilisation de la MFA (Authentification Multi-Facteurs), le chiffrement des bases au repos, et la journalisation des accès (logs) pour les données sensibles.

• Ex 1 : Authentification Multi-Facteurs (MFA) pour tous les accès admin.
• Ex 2 : Chiffrement des bases de données au repos (AES-256).
• Ex 3 : Politique de « moindre privilège » (droits d’accès limités au strict nécessaire).

6. L’alignement des sous-traitants (DPA)

Vérifiez vos contrats. Pour chaque traitement, le nom du prestataire (hébergeur, routeur, CRM) doit être à jour. Avez-vous annexé les Accords de Traitement de Données (DPA) conformes à l’Article 28 ? Conseil : vérifiez les clauses de notification de violation sous 72h.

• Ex 1 : Avenant RGPD signé avec l’expert-comptable.
• Ex 2 : Vérification de la certification sécurité de l’hébergeur Cloud.
• Ex 3 : Clauses de confidentialité pour le prestataire de maintenance informatique.

7. La traçabilité de l’origine

D’où vient la donnée ? D’où viennent les données ? Collecte directe (formulaire), indirecte (partenaire), ou source publique (listes électorales) ? En 2026, la traçabilité de la source est le premier point vérifié lors d’une plainte pour spam.

• Ex 1 : QR Code flashé lors d’un salon pro.
• Ex 2 : Import de fichiers via un partenaire tiers (avec preuve du consentement).
• Ex 3 : Formulaire de contact « Demande de devis » sur le site web.

8. La cartographie des transferts hors-UE

Où partent vos flux mondiaux ? Utilisez-vous des services Cloud américains ? Si oui, vérifiez si l’adhésion au Data Privacy Framework (DPF) est toujours valide pour ce prestataire ou si des Clauses Contractuelles Types (CCT) sont nécessaires.

• Ex 1 : Web-analyse via un outil US (vérification du Data Privacy Framework).
• Ex 2 : Support technique situé en Inde (mise en place de Clauses Contractuelles Types).
• Ex 3 : Backup externalisé en Suisse (Pays avec décision d’adéquation).

9. La cohérence avec la Politique de Confidentialité

Votre site doit dire la même chose que votre registre. C’est le test de vérité : ce qui est écrit dans votre registre « interne » doit correspondre exactement à ce que vous dites à vos clients/usagers dans votre « politique de confidentialité » externe. Les durées de conservation doivent être identiques.

• Ex 1 : Même durée de conservation affichée en interne et en externe.
• Ex 2 : Liste des cookies du registre identique à celle du bandeau de consentement.
• Ex 3 : E-mail du DPO à jour sur tous les supports.

10. La classification IA (IA Act – Nouveauté 2026)

L’IA doit être classée par niveau de risque.

Nouveauté 2026 : Si vous utilisez des systèmes d’IA, votre registre doit désormais préciser leur niveau de risque selon l’IA Act (Risque minime, haut risque, etc.) et les mesures de supervision humaine associées.

• Ex 1 : Algorithme de tri de CV (Haut Risque – supervision humaine requise).
• Ex 2 : Chatbot client (Risque Faible – mention d’information obligatoire).
• Ex 3 : Reconnaissance émotionnelle au bureau (Interdit).

---

Votre registre ressemble plus à un vieux grimoire qu’à un tableau de bord dynamique ?

La conformité n’est pas une option, c’est un pré-requis. Ne laissez pas votre registre devenir une bombe à retardement juridique.

Les élections municipales de mars 2026 approchent à grands pas et la campagne dite “officielle “ débutera le 2 mars pour les candidats. Dans les médias audiovisuels, elle commence le 2 février. À l’ère du numérique, la campagne se joue autant sur le terrain que sur les réseaux sociaux. Or, chaque interaction, chaque formulaire rempli, chaque donnée collectée implique des responsabilités. Un candidat est un Responsable de Traitement au sens du RGPD et des dernières exigences de la CNIL et du Règlement sur la Transparence de la Publicité Politique (RPP). Ignorer ces règles, c’est s’exposer à des sanctions, entacher sa réputation et, potentiellement, remettre en cause la légitimité de la démarche.

En décembre 2025, la CNIL a frappé fort en sanctionnant cinq candidats des élections européennes et législatives de 2024.

https://www.cnil.fr/fr/prospection-politique-sanction-candidats-2024

Le message est clair : l’amateurisme juridique n’est plus une excuse. Voici la synthèse des sanctions et les bonnes pratiques qui en découlent pour la campagne de 2026.

Suite aux sanctions records de décembre 2025, la protection des données est devenue un enjeu de crédibilité politique. Voici les 5 piliers de votre conformité, illustrés par les erreurs fatales des précédentes campagnes.

---

1. La gestion des fichiers de prospection

Le principe : On ne mélange pas les serviettes et les bulletins de vote. Les fichiers doivent être « étanches ».

• ✅ Ce qu’il faut faire : Utiliser exclusivement des fichiers dont les personnes ont consenti à recevoir les messages politiques, ou les listes électorales officielles (en respectant leur finalité).
• ❌ Ce qu’il ne faut pas faire : Utiliser un fichier de clients (pour un commerçant), ou de patients (pour un soignant), son carnet d’adresses d’élus ou la liste des membres de son association locale pour sa campagne.
• ⚖️ Le rappel à l’ordre de 2025 : En décembre dernier, plusieurs candidats ont été sanctionnés pour avoir détourné la finalité de fichiers professionnels ou associatifs. La CNIL a jugé que l’électeur ne pouvait raisonnablement pas s’attendre à être sollicité politiquement via ces canaux.

---

2. Le droit d’opposition (SMS et Emails)

Le principe : L’électeur doit pouvoir dire « Stop » aussi facilement qu’il a dit « Bonjour ».

• ✅ Ce qu’il faut faire : Intégrer obligatoirement une mention « STOP SMS » ou un lien de désinscription visible et fonctionnel dans chaque message envoyé.
• ❌ Ce qu’il ne faut pas faire : Envoyer des vagues de messages sans mécanisme de retrait ou ignorer les demandes de désabonnement reçues par e-mail.
• ⚖️ Le rappel à l’ordre de 2025 : La prospection par SMS a représenté 59% des plaintes lors des derniers scrutins. La CNIL a lourdement sanctionné des candidats pour l’absence de dispositif de désopposition effectif, considérant cela comme une entrave majeure aux libertés individuelles.

https://www.cnil.fr/fr/legislatives-2024-le-bilan-de-lobservatoire-des-elections-de-la-cnil

---

3. La transparence sur l’origine des données

Le principe : « Qui vous a donné mon numéro ? » est une question à laquelle le candidat doit savoir répondre.

• ✅ Ce qu’il faut faire : Préciser dès le premier contact l’origine des données (ex: « Données issues de la liste électorale » ou « Via notre formulaire du 12/10 »).
• ❌ Ce qu’il ne faut pas faire : Acheter des fichiers de « prospects » à des courtiers en données (data brokers) pour faire du ciblage en ligne, une pratique désormais interdite pour la publicité politique.
• ⚖️ Le rappel à l’ordre de 2025 : Des sanctions ont été prononcées contre des listes n’ayant pas informé les citoyens de la source de leurs informations, créant un sentiment de « surveillance » néfaste pour l’image du candidat.

---

4. La sécurité informatique des outils de campagne

Le principe : Les fichiers d’électeurs sont des coffres-forts. Ne laissez pas la porte ouverte.

• ✅ Ce qu’il faut faire : Choisir des logiciels de gestion de campagne (CRM) audités et sécurisés. Utiliser la double authentification pour accéder à vos bases de données.
• ❌ Ce qu’il ne faut pas faire : Stocker les fichiers d’émargement sur des clés USB non chiffrées ou utiliser des tableurs partagés sans protection par mot de passe.
• ⚖️ Le rappel à l’ordre de 2025 : L’amende de 1,7 million d’euros infligée à l’éditeur Nexpublica en décembre 2025 a servi d’avertissement : la CNIL remonte la chaîne de responsabilité. Si le prestataire du candidat est défaillant, la campagne du candidat est elle-même en péril.

---

5. La Publicité Politique en ligne (Règlement RPP)

Le principe : Toute publicité payante sur les réseaux sociaux doit être totalement transparente.

• ✅ Ce qu’il faut faire : Publier un « Avis de Transparence » pour chaque publicité (qui paie, quel budget, quels critères de ciblage).
• ❌ Ce qu’il ne faut pas faire : Faire du « micro-ciblage » basé sur des données sensibles (opinions politiques supposées, religion, origine) pour adresser des messages personnalisés.
• ⚖️ Le rappel à l’ordre de 2025 : Avec l’entrée en vigueur du règlement européen RPP fin 2025, la CNIL a désormais le pouvoir de sanctionner le manque de clarté sur le financement et les méthodes de ciblage. Les premières procédures ont montré que l’opacité est désormais systématiquement punie.

FOCUS sur le RPP

Le Règlement (UE) 2024/900 relatif à la transparence et au ciblage de la publicité à caractère politique (RPP), pleinement applicable depuis le 10 octobre 2025, vient compléter le RGPD pour protéger l’intégrité des processus démocratiques.

• Définition : Il encadre la diffusion de messages payants visant à influencer le résultat d’un scrutin ou un comportement de vote. Contrairement au RGPD qui se focalise sur la donnée, le RPP se focalise sur la visibilité de l’influence.
• Présentation : Ce texte impose une transparence radicale. Toute publicité politique en ligne doit être « étiquetée » comme telle et accompagnée d’un historique d’informations (l’Avis de Transparence) accessible d’un seul clic.
• Champ d’application : Il s’applique à tous les acteurs de la chaîne : les parraineurs (le candidat ou sa liste), les prestataires (l’agence de com’) et les éditeurs (Meta, Google, TikTok, mais aussi les influenceurs rémunérés). Pour les Municipales 2026, aucune commune n’est trop petite pour y échapper dès lors qu’un budget publicitaire numérique est engagé.

💡 Le mot du DPO

La conformité n’est pas une option, c’est une stratégie électorale. Un candidat qui respecte les données de ses électeurs est un candidat qui inspire confiance.

Finalement voici la TO DO et NOT DO pour un candidat :

Top 5 des Actions à Faire et à Ne Pas Faire pour une Campagne Conforme

✅ Les 5 BONNES PRATIQUES Indispensables :

1. Obtenir un Consentement Explicite : Pour toute inscription (newsletter, événement, soutien), demandez un consentement clair et documenté. La case pré-cochée est interdite !
2. Rédiger une Politique de Confidentialité Complète : Rendre accessible et compréhensible l’information sur l’utilisation de toutes les données collectées (sur votre site web et sur vos supports papiers importants).
3. Appliquer le RPP : Pour chaque publicité politique diffusée en ligne, intégrez un « Avis de Transparence » clair : qui paie, qui a fait la pub, comment elle cible. C’est non négociable !
4. Sécuriser Vos Fichiers : Chiffrez vos bases de données, protégez vos accès, et formez vos équipes à la sécurité des données, surtout celles collectées via le porte-à-porte.
5. Faciliter les Droits des Électeurs : Mettez en place une adresse e-mail ou un formulaire dédié pour les demandes d’accès, de rectification, ou d’opposition. Chaque e-mail doit avoir un lien de désabonnement fonctionnel.

❌ Les 5 MAUVAISES PRATIQUES à Proscrire Absolument :

1. Acheter des Fichiers de Contact : Interdiction d’acquérir des listes de prospects auprès de « data brokers » pour du ciblage en ligne. Vos données doivent provenir de la personne directement ou de sources légitimes.
2. « Ficher » les Opinions ou l’Origine : Le profilage des citoyens sur des critères sensibles (opinions politiques, religion, origine ethnique, état de santé) est strictement interdit. Oubliez le « micro-ciblage » basé sur ces données.
3. Ignorer le Droit d’Opposition : Ne pas proposer de désabonnement clair ou ignorer les demandes de retrait de consentement est une infraction grave.
4. Conserver les Données Indéfiniment : Toutes les données collectées pour la campagne doivent être détruites ou anonymisées après les élections, sauf celles pour lesquelles une autre base légale ou une finalité perdurent (ex. : contacts pour un mandat si vous êtes élu, avec un nouveau consentement).
5. Négliger la Sécurité : Laisser des listes électorales ou des fichiers de contacts accessibles sur des supports non sécurisés (tablettes non protégées, clés USB non chiffrées) ou les partager via des canaux non sécurisés (WhatsApp, email personnel).

On les accepte par habitude, on les refuse par agacement, mais on oublie souvent que derrière ces petites lignes de code se cachent les fondations de la confiance numérique… et le radar principal de la CNIL.

En 2026, la gestion des cookies n’est plus un détail technique . C’est un enjeu de conformité stratégique. Si votre site dépose des traceurs avant même que l’internaute n’ait cliqué sur « Accepter », vous jouez avec le feu.

1. Qu’est-ce qu’un cookie (au-delà du cliché du biscuit) ?

Un cookie est un petit fichier texte déposé sur le terminal (ordinateur, smartphone) de l’utilisateur lors de la visite d’un site. Sa mission ? Stocker des informations pour « reconnaître » l’utilisateur lors de sa navigation ou de sa prochaine visite.

Le menu des traceurs : les 4 catégories à connaître

Tous les cookies ne se valent pas aux yeux de la loi. Voici comment les trier :

• Les Cookies Techniques (Indispensables) : Ils sont nécessaires au fonctionnement du site (gestion du panier d’achat, session sécurisée, choix de la langue). Bonne nouvelle : ils ne nécessitent pas de consentement préalable mais vous pouvez cependant les informer de leur utilisation et leur rappeler que des réglages du navigateur peuvent leur permettre de les bloquer, avec des effets potentiellement négatifs pour le fonctionnement du site. Les traitements de données personnelles associés restent néanmoins soumis aux principes du RGPD.
• Les Cookies de Mesure d’Audience (Statistiques) : Ils servent à savoir combien de personnes visitent votre site. Attention : certains outils (comme Google Analytics mal configuré) nécessitent un consentement, tandis que d’autres (exemptés par la CNIL) peuvent s’en passer sous conditions strictes.
• Les Cookies Publicitaires (Marketing) : Les plus surveillés. Ils tracent le comportement pour afficher des publicités ciblées. Consentement obligatoire et explicite.
• Les Cookies de Réseaux Sociaux : Générés par les boutons de partage (Facebook, LinkedIn). Ils permettent aux plateformes de suivre la navigation de leurs membres.

2. Le rappel à l’ordre de la CNIL : Les sanctions récentes

En 2020 la CNIL expliquait et informait sur les cookies.

https://www.cnil.fr/fr/cookies-et-autres-traceurs/que-dit-la-loi

En 2026 la CNIL ne fait plus de « pédagogie préventive » sur les cookies : elle sanctionne. La règle d’or est désormais le parallélisme des formes : il doit être aussi facile de refuser que d’accepter.

Voici les derniers exemples qui ont marqué les esprits (et les portefeuilles) :

• American Express (2024-2025) : Une amende de 1,5 million d’euros notamment pour avoir déposé des cookies publicitaires sans consentement préalable.
• Condé Nast (750 000 €) : Sanctionné pour ne pas avoir permis de refuser les cookies aussi simplement que de les accepter. Un bouton « Tout accepter » sans bouton « Tout refuser » au même niveau est une faute grave.
• L’offensive sur le « Cookie Wall » : La CNIL surveille de près les sites qui bloquent l’accès au contenu si l’utilisateur refuse les cookies, exigeant une alternative réelle pour l’internaute.

3. Le conseil du DPO : Ne confiez pas votre conformité à un simple plugin

Beaucoup d’entreprises pensent être en règle en installant une « CMP » (Consent Management Platform) gratuite. C’est une erreur.

Une CMP mal configurée est un nid à sanctions :

1. Le dépôt « pré-consentement » : Vérifiez-vous que les traceurs sont réellement bloqués avant le clic ?
2. La preuve du consentement : Êtes-vous capable de prouver qu’un utilisateur a dit « oui » il y a 3 mois ?
3. L’information claire : Votre liste de partenaires est-elle à jour ?

La conformité n’est pas un bouton ON/OFF, c’est une maintenance continue.

L’année 2026 marque un tournant dans la politique de contrôle de la CNIL. Avec une amende record de 42 millions d’euros infligée au groupe Free le 13 janvier dernier, l’autorité de contrôle française envoie un signal clair : la sécurité des données n’est plus une simple case à cocher, c’est une exigence de survie pour l’entreprise.

En tant que consultante DPO, je vous propose de décrypter ce que ces sanctions signifient réellement pour les entreprises et pourquoi les chiffres des gros titres cachent une réalité plus complexe.

1. La sécurité des données : La priorité absolue de la CNIL

Si les géants de la Tech sont souvent sous les projecteurs, la CNIL a diversifié ses cibles. En ce début d’année et avec le recul sur l’année 2025, nous pouvons observer une concentration sur trois thèmes majeurs :

• Le défaut de sécurité (Art. 32 du RGPD) : C’est le motif principal des sanctions contre Free, Nexpublica (1,7 M€) et Mobius (1 M€), . Pour la sanction envers le groupe Free, la CNIL relève que, au moment de l’attaque, certaines protections de base faisaient défaut. La procédure d’authentification pour l’accès aux VPN des deux sociétés, notamment utilisés dans le cadre du télétravail, n’était pas jugée suffisamment robuste. À cela s’ajoutait une capacité de détection des comportements anormaux qualifiée d’inefficace. Ce motif de défaut de sécurité avait déjà utilisé en 2023 envers une commune qui n’avait pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données personnelles de ses administrés. En effet, les mesures mises en œuvre pour assurer la sécurité des données étaient insuffisantes, les précautions minimales en matière de robustesse et de stockage des mots de passe n’étant pas respectées.

https://www.cnil.fr/fr/la-cnil-prononce-six-nouvelles-sanctions-dans-le-cadre-de-sa-procedure-simplifiee

• L’usage abusif des cookies : American Express a été rappelé à l’ordre en décembre 2025 sur ce sujet.

https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-american-express-dune-amende-de-15-million-deuros

• La prospection commerciale sans consentement : Un sujet qui reste une priorité pour la protection avec le rappel en mai 2025 de l’obligation de recueillir le consentement des personnes pour les opérations de prospection commerciale par voie électronique (sanction de 900K€ envers société SOLOCAL MARKETING SERVICES).

https://www.cnil.fr/fr/sanction-de-900-000-euros-societe-solocal-marketing-services

2. Face à la sanction : Quels sont les recours ?

Recevoir une notification de sanction de la Formation Restreinte de la CNIL est une épreuve, mais ce n’est pas une fin en soi. Le droit français prévoit des mécanismes de contestation solides :

• Le recours devant le Conseil d’État : La société sanctionnée dispose d’un délai de 2 mois à compter de la notification pour former un recours. Le Conseil d’État peut annuler la sanction ou en réduire le montant s’il la juge disproportionnée. Ainsi Amazon France a vu son amende se réduire de 32 à 15 millions d’euros après un arrêt du Conseil d’Etat le 23 décembre 2025.

https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2025-12-23/492830

3. Montants annoncés vs Montants encaissés : Le mythe et la réalité

Il existe une confusion fréquente sur la destination des amendes.

1. La CNIL ne touche pas l’argent : Les sommes sont versées au Trésor Public, et non au budget de l’autorité de contrôle.

https://www.cnil.fr/fr/cnil-direct/question/sanctions-ou-va-largent-lorsquune-sanction-pecuniaire-est-prononcee-par-la-cnil#:~:text=Sanctions %3A où va l’argent,les services du Trésor Public

2. L’écart d’encaissement : Entre les entreprises qui déposent le bilan, celles qui négocient des échelonnements et les réductions obtenues après recours, le montant « réellement » encaissé par l’État est souvent bien inférieur aux chiffres médiatisés.

4. Le paradoxe Irlandais : Des milliards de papier ?

Pour comprendre l’avenir de la régulation, il faut regarder vers l’Irlande. La DPC (Data Protection Commission), autorité de contrôle des sièges européens de Meta, Google ou TikTok, affiche des sanctions vertigineuses : plus de 3,5 milliards d’euros depuis 2018.

Pourtant, la réalité comptable est surprenante : à peine 0,6 % de ces montants (environ 19,9 millions d’euros) ont été effectivement perçus ces dernières années.

Pourquoi ? Car les GAFAM utilisent des recours juridiques qui durent des années.

https://www.usine-digitale.fr/reglementation/gdpr-rgpd/rgpd-lirlande-sanctionne-a-coups-de-milliards-mais-encaisse-au-compte-gouttes.GS2VU2WNJNCXVCTV3W36XKR3SI.html

L’analyse du DPO : Attention, ce « sursis » profite surtout aux géants. Pour une PME ou une ETI française, les recours sont coûteux et l’administration fiscale est bien plus rapide à recouvrir une amende de 50 000 € ou 100 000 €.

Après avoir examiné les plateformes de messagerie, intéressons-nous au géant du streaming vidéo : YouTube avec ses 35 millions d’utilisateurs en France. Propriété de Google (Alphabet), YouTube est une plateforme incontournable pour la diffusion de contenus créatifs, de tutoriels et de divertissement.

Son modèle, basé sur la recommandation de vidéos et le ciblage publicitaire, soulève des questions spécifiques en matière de RGPD, notamment sur la collecte de données comportementales et la gestion des données des mineurs.

5 points positifs de compatibilité de YouTube avec le RGPD

1. Une politique de confidentialité unifiée et détaillée

YouTube fait partie de l’écosystème Google, et sa politique de confidentialité est intégrée à celle de Google. Cette politique est extrêmement détaillée et décrit les types de données collectées, les finalités du traitement, et les options de contrôle pour les utilisateurs.

2. Des outils de contrôle des données avancés

Les utilisateurs peuvent facilement accéder à leurs données via le « tableau de bord Google ». Il est possible de gérer l’historique des vidéos regardées, l’historique des recherches, et de contrôler les paramètres de personnalisation des publicités. C’est un point fort en matière de transparence et de contrôle.

3. Un droit d’accès et de portabilité des données facile à exercer

Google offre un outil complet, « Google Takeout », qui permet aux utilisateurs de télécharger une copie de toutes leurs données, y compris l’historique de leurs vidéos regardées sur YouTube.

4. Des efforts pour la protection des mineurs

YouTube a mis en place des mesures spécifiques pour protéger les données des mineurs, notamment en désactivant les commentaires, la personnalisation des publicités et les notifications sur les vidéos conçues pour les enfants.

5. Des mécanismes de signalement et de retrait de contenu

La plateforme offre des moyens clairs pour signaler les contenus qui enfreignent ses règles, notamment en ce qui concerne la vie privée des personnes, comme la diffusion non consentie de vidéos privées ou d’informations personnelles.

5 points négatifs de compatibilité de YouTube avec le RGPD

1. La collecte de données comportementales massive

YouTube est le roi du profilage comportemental. La plateforme analyse chaque vidéo regardée, chaque recherche, chaque « j’aime » et « je n’aime pas » pour construire un profil extrêmement détaillé de l’utilisateur. Le consentement pour ce traitement intensif n’est pas toujours « libre et éclairé », et l’utilisateur est souvent incité à accepter les paramètres par défaut pour une meilleure expérience.

2. Le transfert de données hors de l’UE

En tant que filiale d’Alphabet, une entreprise américaine, YouTube transfère les données de ses utilisateurs européens vers les États-Unis. Ces transferts sont sujets aux mêmes interrogations que pour les autres plateformes américaines.

3. La complexité des paramètres de confidentialité

Bien que des outils de gestion existent, la multiplicité des paramètres de confidentialité au sein de l’écosystème Google peut rendre leur compréhension et leur contrôle complexes pour l’utilisateur moyen.

4. La coresponsabilité du traitement des données

Pour les créateurs de contenu qui monétisent leurs chaînes, la question de la coresponsabilité du traitement des données (via les outils de statistiques d’audience, par exemple) est un enjeu. La relation contractuelle entre le créateur et YouTube ne fournit pas toujours les garanties suffisantes pour que le créateur soit en conformité avec le RGPD.

5. La politique de conservation des données

La durée de conservation des données personnelles des utilisateurs est souvent longue, voire indéfinie pour certaines données comme l’historique de recherche, tant que l’utilisateur ne l’a pas explicitement supprimé. Cela peut être contraire au principe de limitation de la conservation du RGPD.

Conclusion : Le verdict de compatibilité

YouTube est une plateforme à double tranchant en matière de RGPD. D’un côté, elle offre une transparence et des outils de contrôle impressionnants, en partie grâce à son appartenance à Google. D’un autre côté, son modèle économique, basé sur le profilage intensif et les transferts de données hors de l’UE, pose des problèmes fondamentaux de conformité.

Mon évaluation : 45% de compatibilité avec le RGPD.

Cette note reflète le décalage entre les efforts de la plateforme pour offrir des outils de conformité et son modèle de profilage massif, qui est au cœur de son fonctionnement. Les transferts de données et la complexité des paramètres de personnalisation des publicités contribuent à cette note mitigée.

Le droit à l’effacement, ou « droit à l’oubli », est un pilier central du RGPD, article 17. Mais comment le mettre en œuvre concrètement lorsqu’un client vous sollicite pour supprimer ses données personnelles ?

Suivons ensemble les étapes clés et les bonnes pratiques à adopter, illustrées par un cas pratique réaliste.

Le contexte : une demande de suppression légitime.

Imaginez la situation suivante : M. Dumont (nom fictif), votre client depuis plusieurs années, vous contacte par mail ou via votre formulaire en ligne pour exercer son droit à l’effacement. Il souhaite que toutes les données personnelles le concernant soient supprimées de vos systèmes, invoquant un changement de prestataire et ne souhaitant plus bénéficier de vos services.

Étape 1 : Vérification de la légitimité de la demande.

Avant toute action, il est crucial de vérifier l’identité du demandeur pour s’assurer qu’il s’agit bien de M. Dumont. Une justification de l’identité du demandeur doit être faite en cas de doute : le plus classiquement par une copie d’une pièce d’identité officielle (carte d’identité, passeport), en veillant à ne conserver que les informations strictement nécessaires à la vérification et à les supprimer après confirmation mais également en indiquant le numéro client ou en joignant copie d’une facture voir si la demande est faite dans un contexte déjà sécurisé (via le formulaire en ligne accessible depuis le compte client) cela est inutile.

Conseil : le DPO doit lui-même avoir une fiche de traitement pour expliquer cette vérification avec des modèles de messages déjà prêts, une procédure de vérification et de suppression des éléments ainsi reçus et ainsi prévoir et organiser la durée de conservation du justificatif d’identité ainsi traité.

Étape 2 : Identification des données concernées.

Une fois l’identité confirmée, il faut identifier toutes les données personnelles de M. Dumont présentes dans vos différents systèmes (CRM, base de données marketing, historique des commandes, etc.).  Un registre RGPD précis et à jour est ici indispensable pour faciliter cette recherche. Ainsi identifier où est stockée une donnée client ne doit pas s’apparenter à la recherche d’une aiguille dans une botte de foin mais bien à appliquer une check-liste déjà prête.

Car le délai de 1 mois ou 3 mois si la demande présente des difficultés particulières a commencé à courir.

Conseil : le DPO doit avoir cette check-liste prête et à jour et la partager avec les directions métiers concernées. D’ailleurs un exercice grandeur nature chaque année avec un client test peut être organisé.

Étape 3 : Suppression effective des données.

La suppression doit être complète et irréversible. Cela implique non seulement la suppression des données dans vos bases actives, mais aussi l’anonymisation ou la pseudonymisation des données archivées si elles ne peuvent pas être supprimées définitivement pour des raisons légales (ex: obligations comptables). 

Attention : la simple désactivation d’un compte n’est pas suffisante.

Données hébergées par des tiers: Si certaines données sont hébergées par des sous-traitants, assurez-vous qu’ils respectent également le droit à l’effacement dans les mêmes délais que vous.

Sauvegardes: Vérifiez que les données supprimées ne subsistent pas dans vos sauvegardes et mettez en place une politique de suppression automatique des anciennes sauvegardes.

Et au sujet des obligations légales, la facture pièce comptable de référence, doit bien être conservée 10 ans minimum même si le client a demandé la suppression de ses données.

Conseil : dans le registre des traitements, les durées de conservations doivent être indiquées. De même que les politiques de confidentialité doivent les annoncer avec leurs finalités.

Et surtout les règles d’archivage et suppression doivent être établies.

Si certaines données ne peuvent être immédiatement supprimées, il faut :

• Les identifier
• Justifier leur conservation
• Et bien entendu les supprimer à la fin de la période supplémentaire.

Étape 4 : Information du client, Sécurisation des échanges et traçabilité.

Confirmez à M. Dumont la suppression effective de ses données personnelles, en précisant les délais et les éventuelles limitations (ex: données conservées pour des raisons légales).  Soyez transparent sur le processus et répondez à toutes ses questions.

La transmission des informations relatives à la demande de suppression doit se faire par un canal sécurisé autant que possible.

Attention, il n’est pas nécessaire de transmettre les informations mais bien d’indiquer leur suppression !

Dans le Registre RGPD : Enregistrez chaque étape du processus dans votre registre, incluant la date de la demande, les actions entreprises, les outils utilisés et les confirmations obtenues.

Conclusion

Gérer efficacement une demande de suppression de données client est un gage de transparence et de respect de la vie privée. En adoptant une approche structurée, sécurisée et documentée, vous démontrez votre engagement envers le RGPD et renforcez la confiance de vos clients. N’hésitez pas à faire appel à un consultant DPO externe pour vous accompagner dans cette démarche et optimiser votre processus de gestion des droits des personnes concernées.

Article 17 – Droit à l’effacement («droit à l’oubli»)

1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique:

1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière;
2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement;
3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2;
4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite;
5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis;
6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

1. Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
2. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire:

1. a) à l’exercice du droit à la liberté d’expression et d’information;
2. b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
3. c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;
4. d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
5. e) à la constatation, à l’exercice ou à la défense de droits en justice.

Après avoir examiné les plateformes d’expression et de partage, nous nous penchons aujourd’hui sur l’application de messagerie instantanée la plus utilisée en France avec près de 30 millions d’utilisateurs : WhatsApp. Acquise par Meta (anciennement Facebook) en 2014, WhatsApp est souvent mise en avant pour son système de chiffrement de bout en bout, qui promet une confidentialité accrue des échanges.

Pourtant, malgré ce chiffrement, de nombreuses questions se posent sur sa conformité au RGPD, notamment en raison de son lien avec sa société-mère et de la collecte d’autres types de données.

5 points positifs de compatibilité de WhatsApp avec le RGPD

1.      Le chiffrement de bout en bout par défaut

C’est le point fort indéniable de WhatsApp. Le chiffrement de bout en bout signifie que seuls l’expéditeur et le destinataire peuvent lire le contenu des messages. Ni WhatsApp ni aucun tiers ne peut y avoir accès. C’est une mesure de sécurité technique et organisationnelle majeure, totalement alignée avec l’esprit du RGPD.

2.      La minimisation des données de contenu

Grâce au chiffrement, WhatsApp ne traite pas le contenu des messages pour du profilage ou d’autres finalités. La plateforme a donc un accès limité aux données de contenu, ce qui respecte le principe de minimisation des données.

3.      Un rôle de responsable de traitement clairement défini

Pour les données qu’elle collecte (métadonnées, informations de profil, etc.), WhatsApp agit en tant que responsable de traitement, et ses finalités sont relativement claires (faire fonctionner le service de messagerie).

4.      L’absence de publicité ciblée

Contrairement aux autres applications du groupe Meta, WhatsApp ne propose pas de publicité ciblée directement au sein de son service de messagerie. Cela évite l’un des principaux points de non-conformité que nous avons vus sur Facebook et Instagram.

5.      Des outils d’exercice des droits

WhatsApp propose aux utilisateurs d’exercer leurs droits. Il est possible de télécharger un rapport d’informations de son compte, et les messages peuvent être supprimés de manière unilatérale ou pour tous les membres d’une conversation. Non encore testé mais je ferai une mise à jour pour voir notamment les données issues de groupe de conversation.

5 points négatifs de compatibilité de WhatsApp avec le RGPD

1.      Le partage de données avec le groupe Meta

Bien que le contenu des messages soit chiffré, WhatsApp partage des métadonnées avec les autres entités du groupe Meta (numéro de téléphone, adresses IP, statut, données de connexion, etc.). Cette collecte et ce partage, souvent réalisés à des fins de profilage inter-plateformes, constituent un point de friction majeur avec le RGPD.

2.      La collecte des contacts du téléphone

Dès l’installation, WhatsApp demande l’accès au carnet d’adresses de l’utilisateur pour identifier les contacts qui utilisent également l’application. Cette pratique pose un problème majeur, car elle implique le traitement des données de tiers qui n’ont pas donné leur consentement. C’est une violation du principe de licéité et de loyauté.

3.      Le transfert de données hors de l’UE

Comme ses cousines, WhatsApp transfère les métadonnées de ses utilisateurs vers les serveurs de Meta aux États-Unis. Ces transferts sont soumis aux mêmes réserves que celles formulées par les autorités européennes pour Facebook et Instagram.

4.      La gestion des données pour WhatsApp Business

De plus en plus d’entreprises utilisent WhatsApp Business. Cela crée une coresponsabilité du traitement des données entre l’entreprise et WhatsApp. L’entreprise doit s’assurer que sa relation contractuelle avec WhatsApp respecte le RGPD, ce qui n’est pas toujours simple.

5.      Les mises à jour des conditions d’utilisation

En 2021, WhatsApp a tenté de modifier ses conditions d’utilisation pour forcer le partage de données avec Facebook, ce qui a déclenché une vague d’indignation et de nombreuses enquêtes de la part des autorités de protection des données, prouvant que la plateforme est en tension avec les principes du RGPD.

Conclusion : Le verdict de compatibilité

L’évaluation de WhatsApp est complexe. D’un côté, le chiffrement de bout en bout est un atout majeur qui garantit la confidentialité des communications. D’un autre côté, le modèle économique de sa société-mère, basé sur le partage de données et le profilage, contredit de nombreux principes du RGPD.

Mon évaluation : 60% de compatibilité avec le RGPD.

La note élevée par rapport aux autres plateformes du groupe Meta s’explique par le chiffrement des messages et l’absence de publicité ciblée au sein de l’application. Cependant, le partage des métadonnées avec Meta et la collecte non-consentie des contacts empêchent une note de conformité plus élevée.

Rendez-vous dans le prochain article de notre série où nous regarderons des vidéos et pas que celles avec les petits chats mignons sur YouTube !

Le RGPD est un impératif légal. L’ISO 27001 est une référence internationale en matière de sécurité de l’information. Beaucoup d’entreprises les abordent comme deux chantiers séparés, complexes et coûteux. C’est une erreur stratégique.

Pour un dirigeant de PME ou un RSSI, l’enjeu n’est pas de multiplier les efforts, mais de les centraliser. L’alliance stratégique entre le Règlement Général sur la Protection des Données (RGPD) et la norme ISO 27001 (Système de Management de la Sécurité de l’Information – SMSI) est la voie la plus efficace pour obtenir une sécurité robuste et une conformité incontestable.

Découvrez comment cette synergie vous permet de cocher deux cases cruciales avec un seul et même système de gestion.

RGPD vs. ISO 27001 : Ne les opposez plus, unissez-les

Pour bien comprendre leur complémentarité, définissons leur rôle :

Caractéristique	RGPD	ISO 27001
Nature	Légale (un règlement de l’Union Européenne).	Normative (un standard international d’organisation).
Objectif Principal	Protéger les données personnelles et les droits des individus.	Protéger toute l’information (personnelle, financière, stratégique) contre tous les risques.
Le « Quoi »	Ce qui doit être fait (légalité, consentement, droits d’accès).	Comment le faire (processus, politiques, outils, organisation).

Le Point de Connexion : Le RGPD exige des mesures de sécurité « appropriées » (Security by Design et By Default). L’ISO 27001 fournit le cadre précis et auditable pour démontrer que ces mesures sont en place, gérées et améliorées en continu.

 

3 Piliers où l’ISO 27001 simplifie la vie du DPO

Le travail de votre DPO (ou de votre Consultant DPO Externe) est grandement facilité lorsque votre PME adopte les principes de l’ISO 27001. Voici les zones de convergence majeures :

1. La Gestion des Risques (L’approche préventive)

• Exigence RGPD : Mener des Analyses d’Impact relatives à la Protection des Données (AIPD) pour les traitements risqués.
• Apport ISO 27001 : L’ISO 27001 impose une gestion des risques structurée et continue sur l’ensemble du système d’information. En intégrant les risques liés aux données personnelles dans cette méthodologie, vous couvrez automatiquement l’exigence des AIPD, mais de manière plus large et plus efficace.

2. La Sécurité Opérationnelle (Les preuves tangibles)

• Exigence RGPD : Mettre en place la sécurité technique et organisationnelle (chiffrement, gestion des accès, continuité d’activité).
• Apport ISO 27001 : La norme détaille une liste complète de mesures de sécurité (Annexe A). Adopter ces mesures, c’est fournir la preuve concrète et détaillée que les mesures de sécurité demandées par le RGPD sont non seulement là, mais qu’elles sont gérées par des procédures reconnues mondialement.

3. Le Principe de Responsabilité (L’Accountability)

• Exigence RGPD : Le fameux principe d’« Accountability » (responsabilité). Vous devez pouvoir prouver que vous êtes conforme.
• Apport ISO 27001 : Un SMSI certifié ou aligné ISO 27001 est, par définition, un système de preuve. Il génère des enregistrements, des audits internes et des revues de direction qui constituent la documentation parfaite pour démontrer à la CNIL (ou à vos clients) votre engagement et votre contrôle sur la sécurité des données.

L’Avantage Économique du Double Bénéfice

Pour le dirigeant de PME, l’investissement dans un SMSI conforme à l’ISO 27001 n’est pas une simple dépense de sécurité, mais un investissement dans la crédibilité et la résilience :

1. Réduction des Coûts : Un seul audit pour vérifier à la fois les contrôles de sécurité (ISO) et les exigences légales (RGPD) est plus économique que deux démarches séparées.
2. Avantage Commercial : La certification ISO 27001 est souvent exigée par les grands donneurs d’ordre (clients B2B). Si votre conformité RGPD est intégrée à ce système, vous répondez aux deux exigences de manière plus convaincante que vos concurrents.
3. Réduction du Risque d’Amende : Une sécurité opérationnelle de niveau ISO 27001 réduit drastiquement le risque de faille de sécurité (fuite de données) et, par conséquent, le risque d’amendes CNIL.

 

 

Conclusion : Passez à une approche intégrée

 

Ne voyez pas le RGPD comme un « devoir » et l’ISO 27001 comme un « luxe ». Considérez l’ISO 27001 comme le mode d’emploi pour appliquer la loi du RGPD de la manière la plus professionnelle et la plus reconnue.

En combinant expertise DPO et méthodologie ISO 27001, un DPO vous aide à bâtir une forteresse de sécurité qui protège vos données, votre réputation et votre croissance.

Aujourd’hui (Novembre 2025), l’Union Européenne prépare une réforme ambitieuse du droit numérique connue sous le nom de « Digital Omnibus ». Bien qu’encore à l’état de projet, ce règlement vise à harmoniser et alléger certaines charges du RGPD, notamment pour les PME. Si l’Omnibus allège la forme de la conformité RGPD, il ne remet absolument pas en cause le besoin d’une sécurité opérationnelle de haut niveau.

Le « projet Omnibus » renforce l’idée qu’un Système de Management de la Sécurité de l’Information (SMSI) ISO 27001 est la réponse stratégique unique et la plus efficace :

• Prouver l’Accountability : Quelle que soit la future définition de la donnée personnelle, l’ISO 27001 fournit un cadre auditable et reconnu pour prouver que les « mesures de sécurité appropriées » (exigées par le RGPD) sont bien en place et gérées.
• Couverture Multi-Réglementaire : L’Omnibus cherche l’harmonisation. Un SMSI bien construit couvrira non seulement le RGPD modifié, mais aussi les exigences de sécurité croissantes des autres règlements (NIS 2, AI Act), offrant une défense intégrée.

L’Omnibus est une opportunité de simplification, mais il ne dispense pas d’une gestion des risques rigoureuse. L’intégration des exigences du RGPD au sein d’un SMSI ISO 27001 reste la voie la plus sûre pour sécuriser la conformité et éviter les amendes, même après la réforme.

Après avoir exploré les réseaux de communication et de networking, nous nous intéressons aujourd’hui à une plateforme au modèle unique : Pinterest. Souvent décrit comme un moteur de découverte visuelle, Pinterest permet aux près de 8 millions d’utilisateurs mensuels en France d’épingler (de « pinner ») des images, des vidéos et des idées sur des tableaux thématiques.

Son fonctionnement, basé sur l’imagerie et les centres d’intérêt, pose des questions spécifiques en matière de protection des données, notamment sur la gestion des informations qui peuvent être déduites des goûts et des préférences des utilisateurs.

5 points positifs de compatibilité de Pinterest avec le RGPD

 

1. Une politique de confidentialité accessible

Pinterest a mis en place une politique de confidentialité claire et facile à comprendre. Elle explique en détail les types de données collectées et les finalités du traitement, notamment l’amélioration des recommandations personnalisées.

2. Un contrôle facile sur les données

La plateforme offre des options relativement simples pour gérer son compte et ses informations. Les utilisateurs peuvent facilement accéder à leurs données, les modifier, les supprimer ou demander leur suppression.

3. Des paramètres de confidentialité granulaire

Pinterest propose de rendre ses tableaux privés. Un utilisateur peut ainsi choisir de masquer certaines de ses « épingles » ou ses tableaux à d’autres utilisateurs, ce qui est une bonne pratique en matière de « privacy by design ».

4. L’exercice du droit à la portabilité des données

La plateforme permet de télécharger une archive complète de ses données, y compris les « épingles » et les tableaux créés. Cela facilite l’exercice du droit à la portabilité, ce qui est un point positif. Non encore testé à aujourd’hui, je viendrai faire une mise à jour.

5. Un traitement de données qui peut être basé sur le consentement

L’approche de Pinterest, qui repose sur l’intention de l’utilisateur (je « pin » cette image car elle m’intéresse), est en partie fondée sur un consentement implicite mais assez clair. L’utilisateur sait que ses épingles reflètent ses goûts et que cela peut être utilisé pour des recommandations.

5 points négatifs de compatibilité de Pinterest avec le RGPD

 

1. Le profilage pour le ciblage publicitaire

C’est le point faible principal. Pinterest collecte des informations sur les épingles, les recherches et les interactions de ses utilisateurs pour créer des profils très détaillés et les utiliser à des fins publicitaires. Le consentement pour ces traitements, particulièrement intrusifs, est souvent « noyé » dans les conditions d’utilisation.

2. Le transfert de données hors de l’UE

En tant qu’entreprise américaine, Pinterest transfère les données de ses utilisateurs européens vers les États-Unis. Bien que la plateforme utilise des Clauses Contractuelles Types (CCT), la validité de ces clauses reste un point de friction avec les autorités européennes.

3. La collecte de données hors de la plateforme

Pinterest utilise des « widgets » et des « boutons d’épingle » sur des sites web tiers. Cela lui permet de collecter des informations sur les habitudes de navigation des utilisateurs, même s’ils ne sont pas directement sur la plateforme, ce qui pose une question de consentement.

4. La coresponsabilité du traitement de données

Pour les entreprises et les marques qui utilisent Pinterest pour créer des tableaux de produits, la question de la coresponsabilité est un enjeu. La plateforme ne fournit pas toujours les garanties suffisantes pour permettre à ces « co-responsables » d’être en conformité avec le RGPD.

5. Le traitement des données des mineurs

Comme pour d’autres réseaux sociaux, la présence d’un public jeune soulève des questions sur la collecte et le traitement de leurs données. Bien que Pinterest ait des politiques en place, l’efficacité de ces mesures pour protéger les mineurs reste un point de vigilance.

Conclusion : Le verdict de compatibilité

 

Pinterest, de par son modèle visuel et basé sur les centres d’intérêt, a des atouts en matière de conformité. Sa transparence et ses outils de contrôle sont des points positifs. Cependant, son modèle de profilage à des fins publicitaires et les transferts de données hors de l’UE restent des points de blocage majeurs.

Mon évaluation : 55% de compatibilité avec le RGPD.

Cette note plus élevée que celle de TikTok ou Instagram reflète une finalité de traitement plus claire et un contrôle utilisateur plus simple. Cependant, les enjeux liés au profilage publicitaire et aux transferts de données empêchent une meilleure note.