Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.

Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.

Par une décision n° 2025‑1154 Question Prioritaire de Constitutionnalité (QPC) rendue le 8 août 2025, le Conseil constitutionnel a opéré un revirement majeur en matière de protection des droits de la défense dans les procédures devant la CNIL. Il a jugé contraire à la Constitution l’absence de dispositions prévoyant que les

Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.

Dans un monde où l’intelligence artificielle transforme en profondeur les pratiques professionnelles, la protection des données personnelles devient un enjeu central pour les avocats. Conscients de cette évolution, la CNIL et le Conseil national des barreaux (CNB) ont renouvelé, le 17 juillet 2025, leur partenariat pour une durée de trois ans, poursuivant ainsi une collaboration initiée à la suite de précédentes conventions de partenariat signées en 2010, 2012, et 2019.

Face à la recrudescence des fraudes par manipulation, les établissements bancaires cherchent à renforcer la sécurité des opérations sensibles réalisées via leurs applications mobiles. L’une des mesures envisagées consiste à détecter si un appel téléphonique est en cours au moment d’une transaction, afin d’identifier les situations à risque où un client pourrait agir sous l’influence d’un fraudeur.

La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.

La Cour de cassation a rendu un arrêt le 18 juin 2025, qualifiant les courriels émis ou reçus par un salarié via sa messagerie professionnelle de données à caractère personnel au sens de l’article 4 du RGPD. Cette décision confirme que les « courriels émis ou reçus par le salarié grâce à sa messagerie électronique professionnelle » sont des données à caractère personnel au sens de l’article 4 du RGPD et confère au salarié un droit d’accès étendu, sous réserve du respect des droits d’autrui.

L’intelligence artificielle au service de la Justice : une stratégie opérationnelle et éthique Le 23 juin 2025, le rapport « L’IA au service de la Justice : stratégie et solutions opérationnelles » a été remis au Garde des sceaux, Gérald Darmanin, par Haffide Boulakras, directeur adjoint de l’École nationale de la magistrature (ENM). Ce document marque une étape décisive dans la transformation numérique du système judiciaire français.

Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).

L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)

Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.

Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.

Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.

Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.

Dans un arrêt du 9 avril 2025, la Cour de cassation a apporté une précision importante sur le régime juridique applicable à l’exploitation des fichiers de journalisation informatiques (logs), et notamment aux adresses IP des salariés, dans le cadre d’une procédure disciplinaire. Une décision qui interpelle les employeurs : faut-il désormais obtenir le consentement du salarié pour pouvoir utiliser son adresse IP à des fins de contrôle ?

Alors que le Règlement général sur la protection des données (RGPD) fêtera bientôt ses sept ans d’application, des voix s’élèvent pour adapter le texte aux réalités économiques des très petites et moyennes entreprises (TPE – PME). L’objectif : réconcilier protection des données et compétitivité, tout en tenant compte des moyens limités de ces structures.

L’Autorité de la concurrence a récemment sanctionné Apple pour avoir abusé de sa position, en raison de la manière dont la firme californienne a mis en œuvre sa fonctionnalité « App Tracking Transparency » (ATT). Introduite en avril 2021 avec iOS 14.5, cette fonctionnalité visait à renforcer la transparence sur le suivi publicitaire, mais sa mise en œuvre a soulevé de vives critiques.

Le droit à l’effacement, souvent appelé « droit à l’oubli », est l’un des droits les plus emblématiques du Règlement Général sur la Protection des Données (RGPD). Pourtant, sa mise en œuvre effective reste encore inégale, voire lacunaire, au sein de nombreuses organisations. C’est dans ce contexte que la CNIL, en coordination avec les autres autorités européennes de protection des données, a décidé d’intensifier les contrôles.

Le 25 mars 2025, la Commission nationale de l’informatique et des libertés (CNIL) a lancé une consultation publique portant sur un projet de recommandation relatif à l’usage des données de localisation des véhicules connectés. À l’heure où les voitures deviennent de véritables « objets intelligents » capables de collecter, stocker et transmettre des données en temps réel, la question de la protection de la vie privée des conducteurs prend une toute nouvelle dimension. Cette initiative s’inscrit dans une volonté d’encadrer ces traitements, souvent massifs et invisibles pour l’usager, tout en assurant un équilibre entre innovation technologique et respect des droits fondamentaux.