Actualités de la protection des données en France (19-26 mars 2026)
La semaine du 19 au 26 mars 2026 a été marquée par une série d’annonces et de décisions importantes de la part de la CNIL, illustrant son engagement continu à renforcer la protection des données personnelles en France. De nouvelles nominations stratégiques, des consultations publiques et des sanctio
Rémi Stefanini nommé directeur des technologies, de l'innovation et de l'IA
Rémi Stefanini rejoindra la CNIL le 15 avril 2026 en tant que directeur des technologies, de l'innovation et de l'intelligence artificielle. Cette nomination souligne la volonté de la CNIL de renforcer son expertise dans des domaines clés, notamment l’IA, qui joue un rôle de plus en plus central dans le traitement des données personnelles. Cette arrivée marque une étape importante dans l’adaptation de la CNIL aux défis technologiques actuels et futurs.
Clôture de l'injonction contre KASPR
La CNIL a clôturé, par délibération du 4 mars 2026, l'injonction prononcée le 5 décembre 2024 à l'encontre de la société KASPR. Cette décision met fin à une procédure engagée pour des manquements à la protection des données. La clôture de cette injonction souligne l’importance pour les entreprises de respecter leurs obligations en matière de conformité au RGPD, sous peine de sanctions administratives.
Consultation publique sur les outils de rejeu de session
Le 25 février 2026, la CNIL a lancé une consultation publique sur un projet de recommandation relatif aux outils de rejeu de session. Ces outils permettent de visualiser le parcours de navigation d'un utilisateur sur un site web ou une application mobile. La consultation, ouverte jusqu’au 22 avril 2026, vise à guider les fournisseurs d'outils et les éditeurs pour assurer la conformité au RGPD, en mettant l'accent sur le consentement éclairé des utilisateurs et en définissant les finalités autorisées, telles que la détection d'erreurs ou l'amélioration de l'expérience utilisateur.
Partenariat CNIL-HAS : bonnes pratiques IA en santé
Le 10 mars 2026, la CNIL et la Haute Autorité de santé (HAS) ont signé un partenariat pour renforcer les bonnes pratiques numériques en santé. Une consultation publique a été lancée concernant un projet de guide des bonnes pratiques pour l'utilisation des systèmes d'intelligence artificielle en contexte de soins. Ce partenariat illustre la nécessité d’encadrer l’utilisation de l’IA dans des secteurs sensibles comme la santé, où la protection des données personnelles est cruciale.
Publication des "Tables Informatique et Libertés" 2026
Le 2 mars 2026, la CNIL a publié la mise à jour 2026 de ses "Tables Informatique et Libertés". Ce document de référence regroupe la jurisprudence et la pratique décisionnelle en matière de protection des données personnelles, offrant ainsi un outil précieux pour les professionnels et universitaires.
CNIL au Forum InCyber (FIC) 2026
La CNIL sera présente au Forum InCyber (FIC) 2026, qui se tiendra du 31 mars au 2 avril à Lille Grand Palais. La présidente de la CNIL, Marie-Laure Denis, interviendra lors du sommet d'ouverture le 31 mars. Cet événement est l’occasion pour la CNIL de rappeler son engagement dans le domaine de la cybersécurité, enjeu majeur pour la protection des données personnelles.
Surveillance des pratiques de communication politique lors des élections municipales 2026
À l’approche des élections municipales des 15 et 22 mars 2026, la CNIL a réactivé son observatoire des élections pour surveiller les bonnes pratiques de communication politique. Elle a également rappelé l’application depuis octobre 2025 du règlement européen relatif à la transparence et au ciblage de la publicité à caractère politique (RPP), qui impose notamment le consentement explicite pour le démarchage et interdit le profilage des électeurs à partir de données sensibles.
Renforcement des exigences en matière de cybersécurité
En mars 2026, la CNIL a annoncé le durcissement de sa position en matière de cybersécurité. Elle impose désormais l'authentification multifacteur pour les entreprises gérant des bases de données contenant des informations sur plusieurs millions de personnes. Cette mesure s’inscrit dans le plan stratégique 2025-2028 de la CNIL, qui fait de la cybersécurité un domaine prioritaire, face à l’augmentation des notifications de violations de données.
Protection des enfants en ligne : des progrès insuffisants
Un audit "Privacy Sweep" mené en novembre 2025 par 27 autorités de protection des données internationales, dont la CNIL, a révélé que les mesures de sécurité en ligne pour les mineurs ont largement stagné au cours de la dernière décennie. L’audit a mis en évidence une augmentation de la collecte et du partage de données, ainsi que des mécanismes de vérification de l’âge souvent facilement contournés.
Le Conseil d'État confirme la norme de la CNIL sur l'anonymisation
Le 13 février 2026, le Conseil d'État a confirmé la norme de la CNIL sur l'anonymisation, clarifiant la distinction entre pseudonymisation et anonymisation au regard du RGPD. Cette décision confirme que les données restant pratiquement réidentifiables doivent être traitées comme des données personnelles, sauf si le risque de réidentification est véritablement insignifiant.
Amende de 3,5 millions d'euros pour transfert illégal de données
Le 30 décembre 2025, la CNIL a infligé une amende de 3,5 millions d’euros à une entreprise pour des violations liées au transfert de données d’un programme de fidélité à un réseau social à des fins publicitaires. Les manquements incluent l’absence de base légale valide, l’absence d’analyse d’impact sur la protection des données (AIPD) et des violations liées aux cookies. Cette décision, adoptée en coopération avec 16 autres autorités européennes, illustre la rigueur de la CNIL en matière de transferts de données.
Cette semaine riche en actualités démontre l’engagement continu de la CNIL à protéger les données personnelles et à garantir la conformité au RGPD dans divers secteurs, tout en renforçant les mesures de sécurité et en promouvant les bonnes pratiques.