Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
🟠 Le RGPD, en vigueur depuis 2018, impose aux entreprises des obligations strictes en matière de protection des données personnelles. Le DMA, plus récent, vise à réguler les grandes plateformes numériques afin de garantir une concurrence équitable. Ces deux textes, bien que distincts, partagent un objectif commun : renforcer les droits des utilisateurs. Le CEPD a donc publié des lignes directrices pour clarifier leur articulation, notamment sur les exigences de transparence.
Ces recommandations insistent sur le fait que les obligations du DMA comme l’information sur les pratiques de traitement des données ou les interfaces utilisateur doivent être mises en œuvre en cohérence avec les principes du RGPD.
Par exemple, lorsqu’une plateforme informe ses utilisateurs sur le ciblage publicitaire ou le partage de données avec des tiers, elle doit le faire de manière claire, accessible et conforme aux articles 12 à 14 du RGPD.
🟠 Lors de sa session plénière d’octobre 2025, le CEPD a sélectionné le thème de la transparence comme sujet de sa cinquième action coordonnée. Cette initiative mobilisait les autorités nationales de protection des données pour évaluer comment les organisations respectent leur devoir d’information envers les citoyens. L’objectif est de « garantir que chaque individu comprenne quand, comment et pourquoi ses données sont utilisées ».
Les résultats de cette action, prévue pour 2026, permettront d’identifier les bonnes pratiques, mais aussi les lacunes persistantes. Ils serviront de base à des mesures correctives ciblées, tant au niveau national qu’européen.
Cette démarche s’inscrit dans le cadre du « Coordinated Enforcement Framework » (CEF), lancé en 2020 pour harmoniser les contrôles et renforcer la coopération entre les autorités de protection des données.
🟠 Conclusion : Ces initiatives témoignent d’une volonté claire : placer la transparence au cœur de la gouvernance numérique européenne. En combinant les exigences du RGPD et du DMA, et en coordonnant les actions de contrôle, le CEPD cherche à créer un environnement où les citoyens peuvent exercer leurs droits en toute confiance.
Dans un monde numérique de plus en plus complexe, cette approche intégrée est essentielle pour garantir que les principes de protection des données ne soient pas relégués au second plan face aux impératifs économiques ou technologiques.
Pour en savoir plus / sources :
|
Dans un contexte européen marqué par l’évolution constante des réglementations numériques, le Comité européen de la protection des données (CEPD) poursuit ses efforts pour garantir une meilleure transparence dans le traitement des données personnelles. Deux initiatives récentes illustrent cette dynamique : la publication de lignes directrices sur l’interaction entre le RGPD et le Digital Markets Act (DMA), et le lancement d’une action coordonnée sur la transparence en 2026.
Le 10 juillet 2025, la Commission européenne a publié la version finale du Code de bonnes pratiques pour l’intelligence artificielle à usage général (GPAI), marquant une nouvelle étape dans la régulation de l’intelligence artificielle en Europe. Ce Code, bien que volontaire, s’inscrit dans un contexte de montée en puissance du Règlement sur l’IA (AI Act), dont certaines dispositions, notamment celles concernant les GPAI, sont applicables depuis le 2 août 2025.
Le 3 septembre 2025, le Tribunal de l'Union Européenne a rejeté le recours d’un citoyen français (M. Philippe Latombe, député français et membre de la CNIL) visant à annuler la décision de la Commission européenne du 10 juillet 2023, établissant l’adéquation du nouveau cadre de transfert de données personnelles entre l’Union européenne et les États-Unis. Ce cadre, connu sous le nom de Data Privacy Framework (DPF), succède au Privacy Shield, invalidé en 2020 par la CJUE dans l’affaire Schrems II. Le DPF repose sur des engagements renforcés pris par les États-Unis en matière de protection des données, notamment via le décret présidentiel 14086, encadrant les activités de renseignement.
Dans le cadre de son plan d’action initié en 2019 pour encadrer l’usage des cookies numériques, la CNIL a récemment prononcé deux sanctions majeures à l’encontre de Google et Shein, illustrant sa volonté de renforcer la protection des données personnelles des internautes.