Les décisions de 2025 à retenir pour bien aborder 2026

L’année 2025 a été marquée par un renforcement significatif de la protection des données en Afrique du Sud, tant à travers les décisions des tribunaux que celles de l’autorité nationale de protection des données, le Régulateur de l’Information. Plusieurs plateformes internationales ont également mis à l’épreuve les limites de la loi sur la protection des informations personnelles 4 de 2013 (POPIA). Ces affaires emblématiques ont contribué à préciser les contours du droit à la vie privée dans une démocratie constitutionnelle, les modalités de traitement des données personnelles ainsi que les limites applicables à ces traitements.

Le présent article revient sur les décisions les plus marquantes ayant récemment façonné le paysage de la protection des données en Afrique du Sud. Il met en lumière la manière dont les juridictions cherchent à concilier le droit à la vie privée, la liberté d’expression, les intérêts économiques et le respect des obligations réglementaires (1).

Botha c/ Smuts (2)

Dans cette affaire, un agriculteur (Botha) a contesté les agissements d’une activiste (Smuts) qui a publié sur les réseaux sociaux des photographies de pièges à oiseaux installés sur son exploitation. Ces publications étaient accompagnées du nom de l’agriculteur et de sa ferme, de son adresse professionnelle, ainsi que d’autres informations permettant de l’identifier. Les juges étaient ainsi appelés à mettre en balance le droit au respect de la vie privée avec celui de la liberté d’expression.

La Cour constitutionnelle, la plus haute juridiction d’Afrique du Sud, a finalement jugé que même lorsque certaines données, telles que la propriété d’une exploitation agricole ou une adresse professionnelle, figurent dans des documents accessibles au public, les personnes concernées conservent une attente raisonnable en matière de protection de la vie privée quant à l’utilisation en ligne de leurs informations personnelles ou professionnelles. Cette décision constitue un précédent important en matière de protection des données sur les réseaux sociaux, en rappelant que l’accès à des registres publics n’entraîne pas automatiquement la disparition de tout droit à la vie privée.

De Jager c/ Netcare (3)

Au début de l’année 2025, un patient (De Jager) a contesté la décision d’un hôpital privé (Netcare) qui avait procédé à une surveillance clandestine de celui-ci afin de remettre en cause sa demande d’invalidité. De Jager soutenait que cette surveillance portait atteinte à son droit constitutionnel au respect de la vie privée. Le tribunal a examiné l’affaire à la lumière des conditions prévues par la POPIA et a conclu que le traitement des donnée personnelles de De Jager par Netcare était licite.

Cette décision souligne que la surveillance mise en œuvre à des fins de collecte de preuves dans le cadre d’un contentieux civil, ou pour assurer la défense d’une partie, n’est admissible que si elle respecte strictement les exigences de licéité prévues par la POPIA.

Digital Law Company c/ Meta (4)

A la mi-2025, la Haute Cour de Johannesburg a enjoint au géant technologique mondial Meta Platforms (propriétaire de WhatsApp et d’Instagram) de désactiver définitivement plusieurs comptes Instagram et canaux WhatsApp diffusant des contenus concernant des abus sexuels impliquant des élèves sud-africains. Les juges ont également ordonné à Meta de communiquer des données d’identification, telles que les adresses IP, les noms et les numéros de téléphone des personnes responsables de ces contenus.

Cette décision revêt une importance particulière en matière de la protection des données, en ce qu’elle affirme que les plateformes internationales sont tenues de respecter la POPIA et les droits constitutionnels sud-africains, en particulier lorsqu’il s’agit de données sensibles concernant des enfants.

Information Regulator c/ Minister of Basic Education (5)

Cette affaire a renforcé la vigilance à l’égard des pratiques des organismes publics en matière de publication de données personnelles. En 2025, le tribunal a réexaminé un litige dans lequel le Régulateur de l’Information lui demandait d’apprécier la légalité d’une pratique ancienne consistant à publier les résultats du « Matric », l’équivalent sud-africain du baccalauréat, accompagnés d’éléments identifiants tels que les numéros de candidat des élèves et des informations relatives aux établissements scolaires. D’un côté, le Régulateur de l’Information, soutient que cette pratique contrevient à la POPIA, notamment en raison du traitement de données personnelles concernant des mineurs. D’un autre côté, le ministère de l’Éducation défend cette pratique au nom de l’intérêt public et des exigences de transparence.

A ce jour, le tribunal n’a pas encore rendu sa décision finale. L’affaire illustre la tension entre la transparence des actes et des décisions de l’administration et le droit à la vie privée. Son issue pourrait influencer la manière dont les autorités publiques diffuseront à l’avenir des données à grande échelle, et conduire à une évolution profonde des modalités de publication des résultats d’examen et d’autres données du secteur de l’éducation en Afrique du Sud.

Conclusion

Le droit sud-africain de la protection des données évolue rapidement. Ces affaires emblématiques montrent que les tribunaux protègent activement les données personnelles tout en s’efforçant de concilier les droits attachés aux données personnelles avec la liberté d’expression, l’intérêt public et les impératifs économiques. Elles adressent également un message clair aux entreprises : le respect de la POPIA n’est pas optionnel et la protection de la vie privée ne saurait être reléguée au second plan.

Pour les entreprises internationales opérant en Afrique du Sud, ces affaires montrent le sérieux avec lequel les tribunaux locaux appréhendent la protection de la vie privée, qu’il s’agisse de celle des personnes physiques ou des personnes morales. Elles témoignent aussi d’un cadre juridique sud-africain de plus en plus aligné sur les enjeux contemporains de la protection des données dans un environnement numérique et interconnecté.

*****

(1) Les résumés des jugements relatifs à la vie privée et à la protection des données cités dans le présent article sont accessibles sur le site web de Lexing Afrique du Sud (cabinet Michalsons) à l’adresse : https://www.michalsons.com/blog/tag/data-protection-judgments-and-cases

(2) Botha v Smuts and Another [2024] ZACC 22. : https://www.saflii.org/za/cases/ZACC/2024/22.html

(3) De Jager v Netcare surveillance evidence and POPIA, publié le 28 février 2025 : https://www.michalsons.com/blog/de-jager-v-netcare-surveillance-evidence-and-popia/77164

(4) Digital Law Company v Meta: Extraterritorial application of South African law, publispublié le 25 août 2025 : https://www.michalsons.com/blog/digital-law-company-v-meta-extraterritorial-application-of-south-african-law/79114

(5) Department of Basic Education DBE enforcement action consent, publié le 8 octobre2025 : https://www.michalsons.com/blog/department-of-basic-education-dbe-enforcement-action-consent/76394

JOHN GILES
southafrica@lexing.network

La Cour fédérale australienne a prononcé la première sanction civile fondée sur la loi sur la protection de la vie privée (Privacy Act) (1) dans l’affaire Australian Information Commissioner c. Australian Clinical Labs (No 2) [2025] FCA 1224 (2). Cette décision emblématique constitue un avertissement pour les entités assujetties aux principes australiens de confidentialité (Australian Privacy Principles, ci-après « APP ») (3): il est plus que jamais impératif qu’elles fassent preuve de proactivité et de prudence dans le traitement de données personnelles.

En 2022, la société Australian Clinical Labs (« ACL ») a subi une attaque par rançongiciel visant des actifs technologiques acquis auprès de Medlab Pathology seulement trois mois auparavant. Cette attaque a entraîné la divulgation de données hautement sensibles concernant plus de 223 000 personnes.

Décision. La Cour fédérale a décidé qu’ACL avait enfreint le principe APP 11.1(b) (4), en ce qu’elle n’avait pas pris, au regard des circonstances, des mesures raisonnables pour protéger les données contre tout accès, toute modification ou toute divulgation non autorisés. Les « circonstances » propres à l’entité assujettie aux APP doivent être prises en compte pour apprécier si des mesures raisonnables ont été mises en œuvre. En l’espèce, la taille importante d’ACL, son degré de sophistication et le volume considérable de données personnelles hautement sensibles qu’elle détenait impliquaient un niveau élevé d’exigence. La Cour fédérale a estimé que les manquements d’ACL au principe APP 11.1(b) étaient « étendus et significatifs », notamment parce que la direction d’ACL était impliquée dans la gestion de l’intégration des systèmes informatiques de Medlab Pathology au sein d’ACL, ainsi qu’en raison d’une dépendance excessive à l’égard de prestataires de services tiers pour la détection et la gestion des violations de données et des incidents de cybersécurité. Il a également été constaté qu’ACL n’avait pas procédé à une évaluation raisonnable et diligente de la violation de données, et n’avait pas notifié l’autorité de protection des données, l’OAIC (5), de la violation « dès que possible ».

Principaux enseignements. La sanction prise à l’encontre d’ACL (5,8 millions de dollars australiens) constitue la première sanction civile prononcée en application de la loi sur la protection de la vie privée. Elle témoigne la volonté des juridictions australiennes de sanctionner les entités assujetties aux APP en cas de violation de données. Cette décision constitue également le premier jugement interprétant le principe APP 11.1(b) : elle précise à travers des exemples concrets, les « mesures raisonnables » que les entités concernées doivent mettre en œuvre pour prévenir toute divulgation non autorisée. Enfin, l’incapacité d’ACL à détecter les défaillances techniques des actifs informatiques acquis auprès de Medlab Pathology met en lumière la nécessité de mener une due diligence approfondie lors de l’acquisition d’actifs impliquant des données personnelles, ainsi que l’importance de disposer d’une infrastructure de gestion des incidents de cybersécurité à la fois robuste et réactive.

Conclusion. On peut noter que l’OAIC a également engagé des poursuites contre la société Optus à la suite de la divulgation non autorisée des données personnelles concernant plus de 9,5 millions d’Australiens (6). Il est reproché à Optus d’avoir enfreint le principe APP 11.1. Dans ce contexte, les entités assujetties aux APP doivent faire preuve d’une vigilance, d’une rigueur et d’une diligence accrues dans le traitement de données personnelles : l’OAIC se montre prête à engager des actions en cas de violation du principe APP 11.1, et les juridictions apparaissent disposées à prononcer des sanctions plus sévères. D’autant plus que les récentes modifications de la section 13G de la loi sur la protection de la vie privée, qui prévoit désormais une amende jusqu’à 50 millions de dollars par infraction pour les personnes morales, laissent présager une augmentation continue des sanctions encourues.

*****

(1) Privacy Act 1988 (Cth): https://www.legislation.gov.au/C2004A03712/latest/text

(2) Décision intégrale accessible au lien suivant : https://www.judgments.fedcourt.gov.au/judgments/Judgments/fca/single/2025/2025fca1224

(3) Pour la définition d’ « entité assujettie aux APP », voir section 6 de la Privacy Act.

(4) ChChapitre 11 des principes australiens de confidentialité : https://www.oaic.gov.au/privacy/australian-privacy-principles/australian-privacy-principles-guidelines/chapter-11-app-11-security-of-personal-information

(5) Office of the Australian Information Commissioner.

(6) Pour en savoir plus : https://www.oaic.gov.au/news/media-centre/australian-information-commissioner-takes-civil-penalty-action-against-optus

DUDLEY KNELLER
&
LAURA DOWD

australia@lexing.network

En 2025, l’autorité nationale de protection des données du Brésil (Agência Nacional de Proteção de Dados – ANPD) a été amenée à se prononcer sur une problématique appelée à se poser de manière récurrente au sujet des dispositifs d’identité et d’authentification numériques : la validité du consentement lorsque la collecte de données biométriques sensibles est assortie d’une incitation financière. Dans sa décision n°11/2025/DIR-IM/CD, rendue dans le cadre de la procédure n°00261.006742/2024-53, l’ANPD a confirmé la mesure préventive précédemment prononcée qui suspendait l’octroi d’une compensation financière aux personnes s’inscrivant au dispositif « World ID » en échange du scan de leur iris. Elle a rejeté les modifications proposées pour mettre en conformité ce dispositif et jugé irrecevable un changement de base juridique en l’absence d’évolution réelle du contexte du traitement. Cette affaire revêt une importance particulière en ce qu’elle montre que pour les traitements à haut risque, le régulateur ne se contente pas d’examiner des copies d’écran, mais apprécie concrètement le parcours de souscription à un produit, l’influence d’une incitation financière sur la liberté de choix des utilisateurs et le niveau d’information offert aux personnes concernées.

1) L’affaire et la mesure préventive déjà prononcée. La procédure de contrôle a été engagée afin d’évaluer la licéité des traitements biométriques mis en œuvre dans le cadre du protocole « World ID ». Dans une logique classique de prévention en matière de protection des données, une mesure préventive avait déjà été prononcée dans cette affaire pour suspendre ce dispositif à haut risque pendant l’instruction du dossier, au regard du risque spécifique résultant du lien entre la collecte de données concernant l’iris et l’octroi d’un avantage économique, et du caractère difficilement réversible des données biométriques une fois celles-ci collectées et intégrées dans des écosystèmes numériques.

2) La validité du consentement donné en échange d’une incitation financière. Aux termes de la loi générale sur la protection des données personnelles brésilienne, la LGPD, le consentement doit être libre, éclairé, non équivoque et lié à une finalité spécifique. L’ANPD a appliqué une interprétation stricte et pragmatique de ces critères lors de son examen de l’interface de l’application mobile utilisée pour recueillir le consentement des nouveaux utilisateurs au dispositif « World ID ». En effet, la validité du consentement donné se pose dès lors que la décision de la personne concernée peut davantage traduire la recherche d’un avantage économique immédiat qu’une compréhension réelle du traitement envisagé et de ses conséquences. Il ressort de la décision de l’ANPD que lorsque le modèle économique d’un produit repose sur une rémunération destinée à favoriser l’adhésion à ce produit, cette rémunération entre dans le champ de l’analyse juridique dont fait l’objet ce produit et en constitue un élément central et non accessoire. Ceci est d’autant plus vrai pour des produits d’identification et d’authentification qui utilisent des données biométriques sensibles, compte tenu de la forte probabilité d’usages ultérieurs et d’effets à long terme pour les personnes concernées.

3) Les mesures de mises conformité s’apprécient in concreto. L’entité contrôlée soutenait avoir apporté, à la suite de la mesure préventive prononcée, les modifications nécessaires pour dissocier la collecte des données biométriques de l’octroi d’une compensation financière. L’ANPD a écarté cet argument en retenant une approche résolument pragmatique. Pour l’autorité, la mesure préventive imposait la suspension effective de toute compensation, et non une simple réorganisation du parcours de souscription sur l’application mobile ni l’introduction d’une procédure supplémentaire entre les différentes étapes d’adhésion. L’ANPD applique donc une approche fondée sur les résultats, c’est-à-dire au regard des effets concrets du dispositif en cause. Dès lors que, au terme du parcours utilisateur, la personne concernée reste en mesure d’accéder à l’avantage économique en raison de la vérification biométrique opérée, la mesure de suspension prononcée ne saurait être regardée comme effective. Les organismes qui proposent des dispositifs numériques complexes sont ainsi prévenus : si les mesures prises pour se mettre en conformité aboutissent au même résultat, elles sont susceptibles d’être jugées insuffisantes, quand bien même elles seraient techniquement sophistiquées du point de vue de l’expérience utilisateur.

4) Changement de base juridique en cours de contrôle : une stratégie limitée. L’entité contrôlée a également tenté de changer la base légale de son traitement de données en cours de route, en abandonnant le consentement pour une autre base légale prévue à l’article 11 de la LGPD, en l’occurrence celle relative à la prévention de la fraude et à la sécurité de la personne concernée dans les processus d’identification et d’authentification au sein des systèmes électroniques. Or, pour l’ANPD, un tel changement ne peut reposer que sur de véritables évolutions affectant la situation de la société, et non sur la seule nécessité d’adapter son modèle économique à la suite de la mesure préventive prononcée à son encontre. Le message envoyé par l’ANPD est clair : la base juridique n’est pas une variable tactique destinée à atténuer la contrainte réglementaire. Lorsque le risque principal persiste — en l’espèce, l’existence d’une rémunération liée au traitement de données sensibles —, un changement de base juridique est susceptible d’être perçu comme une tentative de se soustraire au contrôle de l’autorité, plutôt que comme une réelle mesure correctrice.

5) Effectivité de la décision, astreinte journalière et barème des sanctions. Au regard du risque de la reprise du traitement et de non-respect de la mesure préventive, l’ANPD a assorti l’exécution de sa décision d’une astreinte journalière de 50 000 BRL. Ce montant est justifié au regard du barème des sanctions de l’ANPD, ainsi que de la gravité des traitements en cause et du niveau élevé de préjudice potentiel lié au traitement des données sensibles. L’objectif de l‘astreinte est d’assurer l’effectivité de la décision : dans le cadre des mesures préventives, la sanction doit être suffisamment dissuasive pour éviter que les conséquences financières de leur non-respect ne soit assimilé à un simple coût d’exploitation.

Dans sa décision n°11/2025, qui met fin à cette affaire à un stade préventif, l’ANPD a rejeté la demande d’assouplissement présenté par l’entité contrôlée et maintenu la mesure préventive dans son intégralité, estimant que les solutions proposées ne répondaient pas aux exigences fixées dès lors que la contrepartie économique demeurait, en pratique, liée à la collecte du scan de l’iris des personnes concernées. Elle a, en outre, jugé irrecevable le changement de base juridique, faute de véritables évolutions dans le traitement.

Plusieurs enseignements peuvent être tirés de cette affaire. La décision consacre une approche pragmatique de la conformité : l’élément déterminant est de savoir si le facteur générateur de risque a effectivement cessé de produire ses effets. Ainsi, tant que l’accès à une compensation financière demeure conditionné, même indirectement, à une vérification biométrique, le produit du responsable du traitement a peu de chances d’être considéré comme conforme, quand bien même le parcours utilisateur aurait été remanié.

Cette décision réaffirme par ailleurs l’interprétation stricte qu’il convient de faire de la portée du consentement dans le cadre des traitements biométriques sensibles. Lorsque la rémunération devient le moteur déterminant de l’adhésion à un produit, cette rémunération est susceptible de porter atteinte à la liberté du consentement. La bonne conception des mécanismes d’incitation constitue donc un point de vigilance crucial pour les fournisseurs de dispositifs d’identité et d’authentification, qui comportent des effets à long terme pour les personnes concernées.

Enfin, la décision appréhende le changement de base juridique comme un choix de gouvernance devant refléter de réelles évolutions du contexte de traitement, et non comme un ajustement tactique. Fidèle à son exigence d’effectivité, l’ANPD a assorti la mesure préventive de mécanismes de dissuasion significatifs, au premier rang desquels figure l’astreinte journalière, justifiée par la faible réversibilité des atteintes liées aux données biométriques sensibles.

*****

(1) Mesure provisoire n°1,317 du 17 septembre 2025 restructurant l’Autorité nationale de protection des données en tant qu’entité fédérale autonome spéciale, disponible à l’adresse :  https://www2.camara.leg.br/legin/fed/medpro/2025/medidaprovisoria-1317-17-setembro-2025-797987-publicacaooriginal-176485-pe.html

(2) Autorité nationale de protection des données (ANPD), Conseil, Vote du Conseil n°11/2025/DIR-IM/CD, Supervisory Proceeding n°00261.006742/2024-53, 24 mars 2025, disponible à l’adresse : https://www.gov.br/anpd/pt-br/assuntos/deliberacoes-do-conselho-diretor-1/circuitos-deliberativos-ano-2025/cd-10-2025-votos.pdf

(3) Loi n°13,709 du 14 août 2018, loi générale sur la protection des données personnelles (LGPD), art. 11, disponible à l’adresse : https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

(4) Autorité nationale de protection des données (ANPD), Vote du Conseil n°4 du 24 février 2023, Règlement sur la dosimétrie et l’application des sanctions administrative, disponible à l’adresse :  https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

FLAVIA M. MURAD SCHAAL
&
DEYSE ALCANTARA DE LIMA

brazil@lexing.network

Introduction

La décision n°2025-1200 du 30 janvier 2025 par laquelle l’Autorité ivoirienne de protection des données à caractère personnel (ARTCI) a sanctionné la Commune de Tiassalé à la suite d’une dénonciation des populations, constitue un signal fort adressé aux administrations publiques et aux collectivités territoriales.

Elle rappelle que les impératifs de sécurité publique, aussi légitimes soient-ils, ne sauraient justifier un contournement du cadre légal applicable aux traitements de données à caractère personnel.

Au cœur de cette affaire se trouve un dispositif de caméras installé par la commune et exploité à des fins de sécurité dans l’espace communal. L’analyse de l’Autorité met en lumière des manquements substantiels, tant au regard de la distinction entre vidéoprotection et vidéosurveillance que des règles spécifiques applicables aux traitements opérés pour des motifs de sécurité publique.

Vidéoprotection et vidéosurveillance : une distinction essentielle mais souvent méconnue

La confusion entre vidéoprotection et vidéosurveillance demeure fréquente dans la pratique administrative. L’ARTCI n’a pas manqué de rappeler la définition de ces deux dispositifs.

En effet, la vidéoprotection désigne les dispositifs de captation d’images installés sur la voie publique ou dans des lieux ouverts au public, principalement par les autorités publiques, en vue d’assurer la sécurité des personnes et des biens, la prévention des infractions ou la gestion de situations à risque. La vidéosurveillance, quant à elle, renvoie davantage aux dispositifs mis en œuvre dans des espaces privés ou professionnels, même lorsque ces espaces sont accessibles au public.

Dans les deux cas, dès lors que les images permettent l’identification, directe ou indirecte, de personnes physiques, il s’agit de traitements de données à caractère personnel soumis à la loi ivoirienne relative à la protection des données. La qualification juridique du dispositif conditionne toutefois le régime d’autorisation applicable, en particulier lorsque les finalités invoquées relèvent de la sécurité publique.

Rappel déterminant de la loi de 2013 relative à la protection des données, sur les traitements de sécurité publique

Dans sa décision, l’ARTCI s’est fondée sur les dispositions de la loi de 2013-450, qui encadrent strictement les traitements de données à caractère personnel opérés pour le compte de l’État pour des raisons de sûreté, de défense nationale ou de sécurité publique. Cette loi prévoit expressément que de tels traitements ne peuvent être mis en œuvre que s’ils sont autorisés par décret, pris après avis motivé de l’Autorité de protection.

Ce mécanisme vise à instaurer un équilibre entre les impératifs régaliens de sécurité et la protection des droits et libertés des personnes. Il confère à l’Autorité un rôle central de garantie, en amont, de la légalité, de la nécessité et de la proportionnalité des dispositifs envisagés.

Or, en l’espèce, l’Autorité a constaté que le dispositif de vidéoprotection de la Commune de Tiassalé avait été installé et exploité en dehors de tout décret l’autorisant, et sans avis préalable de l’Autorité. Ce seul constat suffisait à caractériser l’illégalité du traitement.

Une substitution illégitime à l’État en matière de sécurité publique

Au-delà du manquement procédural, la décision met en lumière un enjeu institutionnel majeur. En installant et en exploitant un dispositif de vidéoprotection à des fins de sécurité publique sans fondement réglementaire, la Commune de Tiassalé s’est, de fait, substituée à l’État dans l’exercice de ses compétences régaliennes en matière de sécurité. Et ce quand bien même elle aurait reçu une approbation budgétaire pour l’installation du dispositif en question.

Si les collectivités territoriales disposent de compétences propres et d’un rôle important dans la gestion locale, notamment en matière de prévention et de tranquillité publique, elles ne peuvent agir en dehors du cadre fixé par la loi. La sécurité publique, lorsqu’elle implique des traitements intrusifs de données personnelles à grande échelle, demeure un domaine étroitement encadré, relevant prioritairement de l’État.

Cette substitution non autorisée a d’autant plus suscité la vigilance de l’Autorité que le dispositif concernait l’espace public et touchait indistinctement l’ensemble des administrés.

Des sanctions immédiates et proportionnées

Face à ces manquements, l’Autorité de protection a prononcé des mesures immédiates. Trois sanctions principales ont été décidées :

• une mise en demeure enjoignant à la commune de faire cesser sans délai tout traitement de données à caractère personnel opéré par le dispositif de vidéoprotection ;
• l’inaccessibilité immédiate des données collectées, stockées et traitées, afin d’éviter toute utilisation ou exploitation ultérieure des images ;
• l’inaccessibilité immédiate de la salle de contrôle hébergeant le dispositif, installée dans les locaux de la mairie.

Ces mesures traduisent la volonté de l’Autorité de faire cesser le trouble à la vie privée et de prévenir tout risque d’atteinte supplémentaire aux droits des personnes concernées. Elles illustrent également l’effectivité du pouvoir de sanction de l’Autorité, y compris à l’égard des entités publiques.

Conclusion

Cette affaire rappelle utilement que les collectivités territoriales, dans l’exercice de leurs missions, sont tenues à des obligations renforcées de légalité, de transparence et de responsabilité. Les populations doivent être clairement informées de l’existence de dispositifs de captation d’images, de leurs finalités, de leur base légale et des droits dont elles disposent.

La dénonciation à l’origine de la sanction témoigne d’une vigilance croissante des citoyens quant à l’usage de leurs données personnelles. Elle souligne également que la confiance entre administrations et administrés repose sur le respect scrupuleux du cadre juridique.

La décision relative à la Commune de Tiassalé constitue un précédent pédagogique majeur. Elle rappelle que la protection des données à caractère personnel ne saurait être perçue comme une contrainte accessoire ou un simple formalisme, mais comme un principe structurant de l’action publique.

L’État, les administrations publiques et les collectivités territoriales ont l’obligation d’être exemplaires dans l’application de la loi sur la protection des données. Le respect des procédures d’autorisation, le dialogue avec l’Autorité de protection et la prise en compte des droits des populations sont des conditions indispensables à la légitimité des politiques de sécurité.

À défaut, les dispositifs mis en place, même animés d’intentions louables, risquent de fragiliser la confiance des citoyens et d’exposer les institutions à des sanctions. La protection des données personnelles apparaît ainsi non comme un frein, mais comme un socle essentiel d’un État de droit moderne, respectueux des libertés et attentif aux attentes de ses administrés.

ANNICK IMBOUA-NIAVA
ic@lexing.network

Introduction

L’année 2025 a été rythmée par de nombreuses décisions finlandaises en matière de protection des données, tant de la part des tribunaux administratifs que du Bureau du Médiateur à la protection des données. Ensemble, ces affaires éclairent la manière dont les autorités nationales interprètent les principes essentiels du RGPD, en particulier la définition de données à caractère personnel, les obligations de transparence et de sécurité du traitement, et la licéité des divulgations de données contenues dans des registres publics. Si la pratique finlandaise reste largement en phase avec les orientations européennes, certaines décisions mettent toutefois en évidence des tensions, parfois discrètes mais importantes, entre autorités de contrôle et tribunaux, notamment lorsque les frontières du traitement licite sont mises à l’épreuve. Le présent article revient sur les principales évolutions jurisprudentielles et décisionnelles de 2025 et en souligne les enseignements majeurs.

Tribunaux administratifs

Cour administrative suprême (CAS). En 2025, la Cour administrative suprême (CAS) a rendu cinq arrêts importants en matière d’application du RGPD. Parmi eux, l’arrêt KHO:2025:14 (31 janvier 2025) se distingue particulièrement. La Cour y était appelée à déterminer si les noms, les numéros d’identification d’entreprise (« Y-tunnus »), et les municipalités d’activité des exploitants de fermes à fourrure pouvaient être qualifiés de données à caractère personnel. Elle a jugé que ces informations constituent bien des données à caractère personnel lorsqu’elles concernent des entrepreneurs individuels, mais qu’elles n’ont pas cette nature lorsqu’elles se rapportent à des personnes morales. Cette décision confirme et précise la ligne tracée par la jurisprudence de la CJUE, en opérant clairement la distinction entre personnes physiques agissant en leur nom propre et sociétés constituées en personne morale.

Plusieurs autres arrêts de la CAS ont concerné l’accès aux documents au titre de la législation finlandaise sur la publicité des actes contenant des données mixtes (c’est-à-dire concernant à la fois des personnes physiques et des personnes morales). Dans plusieurs décisions (KHO:2025:15, KHO:2025:23, KHO:2025:29, KHO:2025:51), la CAS a rappelé l’importance du principe de proportionnalité et de la nécessité de concilier les obligations de transparence avec les exigences de protection des données.

L’arrêt KHO:2025:15 mérite une attention particulière. Il portait sur un outil en ligne proposé par un journal, permettant aux internautes de rechercher et de consulter des informations relatives aux revenus et à la fiscalité des personnes à hauts revenus (« verokone »). La question était de savoir si l’utilisation de cet outil déclenchait, pour les personnes concernées, les droits à l’effacement et d’opposition prévus par le RGPD. La CAS a estimé que ce service relevait de l’exception journalistique prévue par la loi finlandaise sur la protection des données (1050/2018). Elle a également souligné que l’accès public, légalement organisé, aux données fiscales personnelles contribue au rôle des médias dans le débat démocratique sur la fiscalité et la répartition des revenus. Dès lors, la liberté d’expression l’a emporté et les demandes fondées sur le RGPD ont été rejetées.

Dans l’arrêt KHO:2025:29, la CAS a annulé les décisions antérieures du Médiateur à la protection des données et du tribunal administratif, et a jugé que, dans les environnements numériques d’apprentissage, le cadre de l’enseignement de base peut créer une obligation légale justifiant le traitement des données à caractère personnel des enfants via une plateforme d’apprentissage électronique (en l’espèce, Google Workspace for Education) (1).

Tribunaux administratifs régionaux. Deux décisions de tribunaux administratifs régionaux ont porté sur des questions importantes liées au RGPD.

Dans l’affaire Itä-Suomen HAO 539/2025 (11 mars 2025), le tribunal a jugé que les autorités de protection de l’enfance pouvaient, en application de la section 64 de la loi 703/2023 relative aux données des clients, obtenir auprès des registres de la police les informations nécessaires à l’évaluation du placement d’un enfant. Cette décision a infirmé l’interprétation plus restrictive de l’autorité policière, qui se fondait uniquement sur la procédure de vérification des antécédents judiciaires. La demande étant limitée aux informations relatives à d’éventuels faits de violence ou de consommation de drogues, le tribunal a considéré ces données comme essentielles à l’exécution des missions légales de protection de l’enfance et a ordonné leur communication.

Dans la décision Helsingin HAO 6850/2025 (3 novembre 2025), le tribunal a annulé une décision du Médiateur à la protection des données concernant la création automatique de boîtes aux lettres électroniques par Posti, la Poste finlandaise. Si le tribunal a reconnu que Posti manquait de transparence dans ses pratiques, il a néanmoins jugé que le traitement des données était nécessaire à l’exécution du contrat, au sens de l’article 6, paragraphe 1, point b), du RGPD. En conséquence, le rappel à l’ordre et l’amende administrative de 2,4 millions d’euros décidé par le Médiateur ont été annulés. Cette décision interroge sur la sécurité juridique entourant l’évaluation des bases légales de traitement et met en évidence le besoin de lignes directrices nationales plus précises dans les domaines sensibles liés à la fourniture de services essentiels.

Décisions du Médiateur à la protection des données

Le bureau du Médiateur a publié 26 décisions dans la base de données Finlex, le service officiel finlandais d’information juridique en ligne, géré par le ministère de la Justice. Ces décisions abordent de nombreuses questions liées au RGPD (2): les modalités d’exercice des droits des personnes concernées, les obligations de sécurité applicables aux infrastructures numériques critiques, les conditions de diffusion des données provenant de registres publics, l’encadrement du recours au cloud computing dans le secteur public, ainsi que la mise en œuvre de mécanismes de transfert transfrontière de données.

• Exercice des droits des personnes concernées. plusieurs décisions portent sur les canaux de communication et les méthodes d’identification utilisés lorsque les personnes concernées exercent leur droit d’accès. Dans une décision du 11 novembre 2025 (TSV/112/2022), le Médiateur a jugé qu’un prestataire de services de stationnement avait enfreint les articles 12, paragraphe 2, 12, paragraphe 6 et 15 du RGPD en exigeant que les demandes d’accès soient exclusivement déposées via un formulaire en ligne unique et en conditionnant leur traitement à la communication du numéro d’identification personnel. Selon le Médiateur, les responsables du traitement ne doivent pas collecter de données supplémentaires lorsque les informations déjà disponibles permettent d’identifier la personne concernée. Un rappel à l’ordre et une injonction de mise en conformité ont été prononcés. Des obstacles procéduraux (qu’ils soient techniques, formels ou liés à l’identification) ne peuvent pas entraver l’exercice effectif du droit d’accès (voir également TSV/37/2019 ; TSV/2627/2024 ; TSV/12685/2024).
• Sécurité des traitements. dans deux décisions marquantes rendues les 9 septembre (TSV/3606/2024) et 23 octobre 2025 (TSV/1671/2023), le Médiateur et son Comité des sanctions se sont penchés sur de graves défaillances affectant les services d’identification électronique forte de deux établissements bancaires. Des failles logicielles permettaient en effet à certains utilisateurs de consulter les noms et numéros d’identification personnelle d’autres personnes et, dans certains cas, d’utiliser leurs services en usurpant leur identité. Le Médiateur a retenu la violation des articles 5 paragraphe 1, point f), 25, paragraphe 1, et 32 du RGPD, en soulignant les exigences accrues qui pèsent sur la gestion des changements, les tests et l’évaluation des risques pour les systèmes d’authentification à haut risque. Un rappel à l’ordre a été prononcé et le Comité des sanctions a infligé des amendes administratives de 1 800 000 € et 865 000 € respectivement, reflétant à la fois la gravité des manquement constatés et l’importance des services concernés.
• Divulgation de données issues de registres publics. dans une décision du 27 août 2025 (TSV/2529/2023), le Médiateur a examiné la transmission de données provenant du registre national des véhicules à une société privée de recouvrement de créances. En l’espèce, Traficom, l’agence finlandaise des transports et des communications avait divulgué des données personnelles malgré l’opposition explicite de la personne concernée. Le Médiateur a rappelé que les informations figurant dans des registres publics restent pleinement soumises aux exigences du RGPD et que les bases légales prévues à l’article 6, paragraphe 1, points c) et e), doivent être interprétées de manière stricte. La même approche restrictive transparaît dans une décision du 27 mai 2025 (TSV/108/2022), dans laquelle un exploitant de pharmacies, soumis à des obligations légales, a été jugé en violation des articles 5, paragraphe 1, 25, paragraphe 2, et 32 du RGPD. Il avait autorisé la divulgation de données au moyen de technologies d’analyse et de traçage de tiers (Google et Meta) sans évaluer correctement les finalités poursuivies ni mettre en place des garanties suffisantes. Ces décisions confirment que les obligations légales de tenue de registres ne créent pas un droit illimité de réutilisation des données par des tiers et s’inscrivent dans une jurisprudence émergente distinguant de plus en plus clairement les informations relatives aux personnes physiques de celles concernant les personnes morales.
• Services cloud du secteur public :le 3 octobre 2025, le Médiateur a rendu trois décisions coordonnées sur l’utilisation du cloud dans le secteur public (TSV/7/2022 ; TSV/24/2022 ; TSV/164/2022), à la suite à une action paneuropéenne menée par le CEPD. Les enquêtes visaient Valtori, l’Agence des services numériques et démographiques (DVV) ainsi que l’Administration fiscale, toutes très dépendantes d’infrastructures cloud. Dans ces dossiers, le Médiateur a constaté plusieurs lacunes dans la relation entre responsables du traitement et sous-traitants : répartition floue des rôles, garanties contractuelles insuffisantes, et un contrôle limité des transferts de données vers des pays tiers, notamment en ce qui concerne les accès depuis les États-Unis. Certaines parties des décisions ont été classifiées pour des raisons de sécurité, mais chaque organisme concerné s’est vu adresser un rappel à l’ordre et enjoint de renforcer sa documentation, de réaliser des évaluations plus systématiques des risques liés aux transferts et de s’assurer que le recours aux services cloud respecte pleinement les articles 28 et 46 du RGPD. Ces décisions témoignent d’un contrôle accru des architectures informatiques de l’État et mettent en évidence la nécessité, pour les organismes publics, de mettre en place une gouvernance juridique solide dans les environnements cloud mutualisés.
• Règles d’entreprise contraignantes (BCR) : la Finlande a joué le rôle d’autorité chef de file lors de l’approbation, le 14 avril 2025, des règles d’entreprise contraignantes de Nokia applicables tant pour les responsables du traitement que les sous-traitants (TSV/13/2023 ; TSV/4995/2023). Les décisions ont confirmé la conformité de ces BCR à l’article 47 du RGPD, et l’intégration de garanties renforcées issues de l’arrêt Schrems II. Elles imposent notamment la réalisation d’analyses d’impact approfondies sur les transferts de données et la mise en place de droits opposables au bénéfice des personnes concernées.

Conclusion

Le paysage finlandais de la protection des données en 2025 reflète un système en pleine maturation. Les tribunaux et le Médiateur se sont attachés à garantir l’exercice effectif des droits par les personnes concernées, en portant une attention particulière aux modalités d’identification et ) l’accessibilité concrète des canaux permettant de déposer des demandes. La sécurité des traitements est restée au cœur des préoccupations, qu’il s’agisse de failles substantielles ou de carences dans la gestion du changement au sein de services numériques présentant des risques élevés.

L’affaire relative à la divulgation de données figurant dans des registres publics a également rappelé la nécessité de mieux encadrer juridiquement la réutilisation de données à caractère personnel collectées dans le cadre de missions publiques. Par ailleurs, l’annulation par le tribunal administratif d’Helsinki de la décision du Médiateur rendue dans l’affaire Posti a mis en lumière des difficultés persistantes en matière de sécurité juridique et de détermination des bases légales de traitement au regard de l’article 6 du RGPD.

Prises dans leur ensemble, les décisions adoptées en 2025 dessinent un environnement de contrôle à la fois exigeant et de plus en plus structuré, dans lequel les autorités de surveillance précisent progressivement leurs attentes, tandis que les juridictions en affinent les contours. Dans ce contexte en constante évolution, les responsables du traitement, tous secteurs confondus, doivent redoubler de vigilance et maintenir des procédures solides afin d’assurer une conformité réelle et durable en matière de protection des données.

*****

(1) KHO:2025:23 held that the Finnish Traffic Insurance Centre had not been shown to systematically breach GDPR principles of fairness, data minimization or privacy by design when requesting patient records for claims handling. In KHO:2025:51, under Article 15 GDPR (with reference to C-579/21), a bank customer had a right of access to the dates on which his data were queried from user logs but not necessarily to the exact times

(2) Besides the decisions discussed below, the cases include TSV/5/2019 (access to data; Art 12, 15); TSV/11/2019 (access channels for rights requests; Art 12, 15); TSV/21/2019 (biometrics, DPIA and safeguards; Art 4, 5, 9, 25, 35); TSV/34/2019 (online service security and password practices; Art 13, 32); TSV/27/2020 (parking-debt collection, legal basis and purpose; Art 6(1)); TSV/61/2021(erasure and retention justification; Art 5, 6, 17); TSV/304/2021 (access to data; Art 15); TSV/301/2022 (telephone marketing, information duties and identification; Art 5(1)(c), 12, 14, 25(2)); TSV/220/2023 (recorded customer calls, transparency; Art 5(1)(a), 12–13); TSV/267/2023 (access to log data; Art 15(1)); TSV/3773/2023 (public availability of meeting attachments; Art 5, 25(2), 32); TSV/1507/2024 (access to healthcare log data; Art 15(1), 12); and TSV/4667/2024 (use of credit data for marketing campaign; Art 6(1); Credit Information Act 19).

JAN LINBERG
&
DIANA ESSER

finland@lexing.network

Le présent article dresse un panorama des amendes administratives prononcées par l’autorité hellénique de protection des données (HDPA) au cours de l’année 2025. Le constat que l’on peut en tirer est une application continue et cohérente, en Grèce de la protection des droits des personnes concernées et des obligations prévues par le RGPD.

En 2025, l’un des axes majeurs de l’activité répressive de la HDPA a porté sur les défaillances systémiques des établissements financiers dans le respect du droit d’accès consacré à l’article 15 du RGPD. Dans une décision particulièrement marquante, l’autorité a infligé une amende administrative de 200 000 euros à la Banque nationale de Grèce pour violation des articles 12, paragraphe 2, et 25, paragraphe 1, du RGPD, résultant de lacunes structurelles dans le traitement des demandes d’accès et dans l’organisation de ses procédures internes (1). En outre, une amende administrative de 50 000 euros a été prononcée à l’encontre de la Piraeus Bank pour manquement aux principes de licéité et de transparence, pour fourniture d’informations insuffisantes à une personne concernée sur la communication de ses données à caractère personnel dans le cadre de mécanismes de gestion de prêts (2).

À une échelle plus restreinte, la HDPA a également examiné des manquements relatifs à la gestion des violations de données et aux défaillances des dispositifs internes de contrôle d’accès au sein des établissements de crédit. Dans ce contexte, l’autorité a prononcé une amende administrative de 3 000 euros contre Alpha Bank, en prenant en compte, en faveur de cette dernière, le caractère limité de la violation, l’absence de préjudice notable pour les personnes concernées, ainsi que les mesures techniques et organisationnelles correctrices mises en place à la suite de l’incident (3).

Un autre ensemble de décisions de la HDPA concernait des organismes du secteur public, principalement en raison de refus répétés ou de retards injustifiés dans l’octroi de l’accès à des documents composant des dossiers administratifs ou disciplinaires à caractère personnel. Par exemple, l’autorité a infligé au service hellénique d’incendie des amendes administratives cumulées d’un montant total de 15 000 euros, dont 10 000 euros pour des violations répétées de l’article 15 du RGPD et 5 000 euros pour défaut d’association du délégué à la protection des données (DPO) aux questions relatives à la protection et manquement à son indépendance (4). Dans une affaire distincte portant sur la conservation illicite de documents dans le dossier individuel d’un agent public et le non-respect des demandes d’accès et d’effacement, la HDPA a prononcé une amende administrative de 2 000 euros (5).

La HDPA a imposé, à des degrés moindres, des amendes dans des affaires liées à la vidéosurveillance ainsi que dans des litiges individuels entre personnes privées. Dans l’une de ces affaires, l’Autorité a prononcé des amendes administratives cumulées d’un montant de 3 000 euros à l’encontre de particuliers pour la mise en œuvre d’un dispositif de vidéosurveillance illicite et le refus d’accorder l’accès aux images enregistrées, en méconnaissance des principes de licéité et de responsabilité (6). Dans une autre affaire concernant le refus de communiquer des données personnelles liées à l’emploi, la HDPA a infligé une amende de 1 000 euros pour violation des articles 12 et 15 du RGPD (7).

En conclusion, l’activité répressive de la HDPA en 2025 met en évidence une priorité clairement accordée au droit d’accès, ainsi qu’une approche graduée et proportionnée en matière de sanctions. Ainsi, les amendes les plus élevées ont été prononcées pour des manquements structurels ou répétés aux obligations de conformité, en particulier au sein des grandes organisations, tandis que des sanctions ciblées et limitées ont été appliquées dans des affaires individuelles ou de faible envergure, confirmant ainsi une stratégie d’application cohérente et fondée sur une analyse des risques.

*****

(1) Décision HDPA 1/2025

(2) Décision HDPA 23/2025

(3) Décision HDPA 7/2025

(4) Décision HDPA 34/2025

(5) Décision HDPA 20/2025

(6) Décision HDPA 21/2025

(7) Décision HDPA 41/2025

GEORGE BALLAS
&
NIKOLAOS PAPADOPOULOS

greece@lexing.network

Dans cet article, Pádraig Walsh revient sur les principaux développements en matière de protection des données personnelles à Hong Kong en 2025 et esquisse les grandes tendances qui se dessinent pour les mois à venir.

A- Loi sur la protection des infrastructures critiques

La Loi sur la protection des infrastructures critiques (systèmes informatiques) (PCICSO) (1) est entrée en vigueur le 1er janvier 2026.

Elle instaure un régime spécifique en matière de cybersécurité pour les opérateurs d’infrastructures critiques, qui s’articule autour de trois piliers : (i) la gouvernance organisationnelle, (ii) les mesures préventives et techniques et (iii) la notification et la gestion des incidents. Les opérateurs concernés peuvent être désignés parmi huit secteurs essentiels, ainsi que parmi les opérateurs d’infrastructures hébergeant des activités sociales ou économiques clés.

La désignation de ces opérateurs, tout comme la publication de directives détaillées pour la mise en œuvre de la PCICSO, sont attendues début 2026. Si cette loi ne concerne pas directement la protection des données personnelles, qui reste de la compétence du Commissaire à la protection des données personnelles (PCPD) (2), l’intensification des actions du Bureau gouvernemental de la sécurité en matière de cybersécurité et d’application de la PCICSO devrait, par effet d’entraînement, renforcer l’activité de régulation du PCPD.

Directives sur l’utilisation de l’intelligence artificielle générative

En 2025, l’IA générative s’est imposée comme un outil incontournable dans le monde de l’entreprise. À Hong Kong, plusieurs autorités ont ainsi publié des directives destinées à encadrer son usage et à en garantir la conformité avec les principes de protection des données consacrés par la loi sur la protection de la vie privée et des données personnelles (PDPO).

• Checklist du PCPD (31 mars 2025) (3): la « Liste de contrôle des directives pour l’utilisation de l’IA générative par les employés » fait office de guide pratique pour aider les organisations à mettre en place des politiques internes conformes à la PDPO. Ces politiques doivent notamment préciser le périmètre des usages autorisés, les types de données pouvant être traitées (données d’entrée), les modalités de conservation des résultats obtenus (données de sortie), intégrer des mesures de sécurité et de protection des données, fixer des règles éthiques et prévoir des sanctions en cas de non-respect.
• Guide du Bureau des politiques numériques (13 avril 2025) (4): le « Guide technique et d’application de l’IA générative à Hong Kong » identifie cinq axes de gouvernance pour l’IA générative : (i) la protection des données personnelles, (ii) la propriété intellectuelle, (iii) la prévention de la criminalité, (iv) la fiabilité et (v) la confiance. Il s’appuie sur une classification des risques en quatre niveaux : inacceptable, élevé, limité et faible. Conçu pour les organismes du secteur public et destiné aux développeurs, aux équipes intermédiaires et aux utilisateurs en entreprise, ce guide constitue également un point de référence utile pour le secteur privé.
• Guide sur l’anonymisation du PCPD (31 juillet 2025) (5): le PCPD a par ailleurs adopté un « Guide pratique sur l’anonymisation », offrant des recommandations concrètes pour l’anonymisation des données utilisées dans les modèles d’IA. Il invite les organisations à : (i) bien connaître leurs jeux de données, (ii) supprimer les identifiants directs, (iii) appliquer des techniques d’anonymisation aux identifiants indirects, (iv) évaluer les risques de ré-identification, et (v) mettre en place des mesures appropriées pour atténuer ces risques.

Contrôles de conformité du PCPD sur l’usage de l’IA

En mai 2025, le PCPD a conduit une nouvelle campagne de contrôles de conformité auprès de 60 organisations (6), visant à évaluer leur respect de la PDPO ainsi que des lignes directrices publiées par l’autorité.

Les résultats confirment une adoption désormais largement généralisée de l’IA. Toutes les organisations ayant recours à des systèmes d’IA pour le traitement de données à caractère personnel avaient mis en place des mesures de sécurité appropriées. Par ailleurs, 83 % d’entre elles avaient réalisé des analyses d’impact sur la protection des données (AIPD) en amont du déploiement, et 96 % avaient procédé à des tests préalables portant sur la fiabilité, la robustesse et l’équité de leurs systèmes.

La majorité des organisations disposaient également de structures de gouvernance de l’IA, avec une supervision exercée au niveau du conseil d’administration. Les plans de réponse aux violations de données étaient largement répandus et intégraient, dans une large mesure, les recommandations du PCPD. À l’issue de ces contrôles, aucune infraction à la PDPO n’a été relevée.

Sans surprise, par rapport à 2024, le nombre d’organisations utilisant l’IA pour traiter des données personnelles est en hausse. Les bonnes pratiques se sont parallèlement renforcées, en particulier en matière d’anonymisation des données, de pseudonymisation et de technologies visant à renforcer la protection de la vie privée.

Rapports d’inspection et d’enquête du PCPD

En août 2025, le PCPD a publié une série de rapports d’enquêtes portant sur d’importantes violations de données. Puis, en novembre 2025, l’autorité a rendu publiques les conclusions des inspections menées à la suite de ces enquêtes, dans un rapport (7) (8) (9) (10).

Résultats : dans le cadre des enquêtes, le PCPD a identifié des manquements au Principe de protection des données n°4 (DPP4) de la PDPO, relatif à la sécurité des données personnelles, résultant de défaillances majeures. Ces manquements ont conduit le PCPD à émettre des mises en demeure. À l’issue des inspections ultérieures, les entités concernées ont cette fois été jugées conformes au DPP4, sous réserve de recommandations d’amélioration.

Enseignements : le principe DPP4, qui impose de prendre « toutes les mesures pratiques » pour assurer la sécurité des données, est par nature évolutif. Un incident de violation de données n’entraîne pas automatiquement une violation de ce principe. L’existence de politiques internes solides, combinée à la mise en œuvre rapide de mesures correctrices, peut ainsi jouer en faveur de l’entité contrôlée. A l’inverse, l’absence de protections élémentaires et largement accessibles expose à des contrôles et des sanctions.

Perspectives pour 2026

L’année 2025 a été une année de la transition. À mesure que l’intelligence artificielle s’ancre durablement dans les pratiques des entreprises, le défi qui se pose à Hong Kong, et ailleurs dans le monde, est devenu évident : réussir à innover tout en protégeant les données personnelles. Dans ce contexte, 2026 s’annonce comme une année potentiellement charnière.

En 2026, l’attention des régulateurs devrait se concentrer en priorité sur la PCICSO et sa mise en œuvre opérationnelle, avec la nomination du Commissaire aux infrastructures critiques, la désignation des opérateurs d’infrastructures critiques et le lancement de la première vague de mise en conformité. Après une année 2025 relativement discrète sur ce terrain, le rythme réglementaire devrait nettement s’accélérer en 2026.

L’adoption de l’IA va continuer de se propager dans tous les secteurs. Fort d’un corpus important de lignes directrices déjà en place, le PCPD devrait recentrer son action sur le contrôle de la conformité et, le cas échéant, sur des mesures de sanction.

*****

(1) The Protection of Critical Infrastructure (Computer Systems) Ordinance (Cap 653) : https://www.elegislation.gov.hk/hk/2025/4!en

(2) The Personal Data (Privacy) Ordinance (Cap. 486) : https://www.elegislation.gov.hk/hk/cap486

(3) The Checklist on Guidelines for the Use of GenAI by Employees : https://www.pcpd.org.hk/english/resources_centre/publications/files/guidelines_ai_employees.pdf

(4) The Hong Kong GenAI Technical and Application Guideline : https://www.digitalpolicy.gov.hk/en/our_work/data_governance/policies_standards/ethical_ai_framework/doc/HK_Generative_AI_Technical_and_Application_Guideline_en.pdf

(5) The Guide to Getting Started with Anonymisation : https://www.pcpd.org.hk/english/resources_centre/publications/files/appa_anonymisation_guide072025.pdf

(6) PCPD 2025 Compliance Check on use of AI : https://www.pcpd.org.hk/english/resources_centre/publications/files/AI_ComplianceChecks.pdf

(7) Investigation Report for Kwong’s Art Jewellery Trading Company Limited and My Jewelry Management Limited : https://www.pcpd.org.hk/english/enforcement/commissioners_findings/files/r25_19241_e.pdf

(8) Investigation Report for Adastria Asia Co., Limited : https://www.pcpd.org.hk/english/enforcement/commissioners_findings/files/r25_19906_e.pdf

(9) Inspection Report for HKICC : https://www.pcpd.org.hk/english/enforcement/commissioners_findings/files/r25_17740_e.pdf

(10) Inspection Report for HKCT : https://www.pcpd.org.hk/english/enforcement/commissioners_findings/files/r25_0255_e.pdf

PÁDRAIG WALSH

hongkong@lexing.network

Le présent article analyse les violations massives de données qui ont touché plusieurs organismes publics au Mexique en 2025, au premier rang desquels l’Institut mexicain de sécurité sociale (IMSS). Il en étudie les enjeux constitutionnel et législatifs, au regard du cadre mexicain de protection des données, actuellement en pleine mutation, et à l’aune des standards internationaux.

L’année 2025 a constitué un véritable tournant pour la protection des données au Mexique. La violation de grande ampleur survenue au sein de l’IMSS, avec le vol et la mise en vente des données personnelles de près de 20 millions d’assurés, a mis en lumière des vulnérabilités structurelles au cœur des institutions publiques du pays. Combinée à une série d’autres incidents de même nature qui ont affecté cette année plusieurs agences gouvernementales, cette affaire révèle l’urgence de renforcer l’application de la loi fédérale sur la protection des données personnelles détenues par des entités privées (LFPDPPP) et de la loi générale sur la protection des données personnelles détenues par des entités publiques (LGPDPPSO).

Principales caractéristiques de la violation de données de l’IMSS

• personnes affectées : près de 20 millions d’assurés (1) ;
• nature des données compromises : noms et prénoms, CURP (identifiant unique de population, équivalent du numéro de sécurité sociale), dates de naissance, modalités de pension et autres identifiants sensibles ;
• origine de l’incident: la fuite proviendrait en grande majorité (70%) de source interne, via des employés (2) ;
• commercialisation illicite: il a été confirmé qu’une partie de ces données a été mise en vente sur le dark Web. (3)

Cadre légal. Le cadre légal de la protection des données au Mexique repose sur un système dual — la LFPDPPP pour le secteur privé et la LGPDPPSO pour le secteur public — qui génère des obligations partiellement redondantes. En tant qu’organisme public, l’IMSS est soumis à la LGPDPPSO, laquelle impose notamment :

• la mise en place de mesures de protection administratives, techniques et physiques ;
• la notification immédiate des personnes concernées en cas de violation de données personnelles ;
• des mécanismes de responsabilité pilotés par le Secrétariat de lutte contre corruption et pour la bonne gouvernance, qui a repris les attributions de l’Institut national de la transparence, de l’accès à l’information et de la protection des données à caractère personnel (INAI), dissous en mars 2025.

Cependant, dans les faits, l’application de ces règles demeure inégale. Les sanctions ne sont souvent que symboliques et les procédures de notification de violation apparaissent encore insuffisamment développées au regard des exigences posées, par exemple, par le RGPD de l’Union européenne.

Analyse juridique. La violation de données subie par l’IMSS pose des questions majeures en matière de responsabilité juridique. Si, en tant qu’organisme public, l’IMSS est soumis à la LGPDPPSO, qui impose des garanties strictes pour la protection des données sensibles, il n’en reste pas moins que les mécanismes de contrôle demeurent fragiles et que les sanctions sont, dans bien des cas, largement symboliques. L’affaire IMSS souligne la difficulté de concilier le droit constitutionnel à la vie privée (consacré par l’article 16 de la Constitution mexicaine) avec la réalité opérationnelle à laquelle font face les grandes administrations. Elle met également en évidence la nécessité d’une harmonisation avec les standards internationaux, notamment ceux du RGPD, en particulier sur les obligations de notification et les voies de recours offertes aux personnes concernées en cas de violations de données.

Situation internationale. Comparé à d’autres pays, la réponse du Mexique aux violations de données personnelles apparaît fragmentée. Alors que le RGPD impose des délais stricts de notification et prévoit de lourdes sanctions financières, les autorités mexicaines ne disposent pas encore d’une pratique d’application réellement cohérente. Derrière l’affaire IMSS se cache une réalité brutale : sans investissements massifs dans la cybersécurité et sans l’instauration d’une réelle culture de conformité en matière de protection des données, les organismes s’exposent à des risques certains.

Conclusion. L’affaire l’IMSS dépasse la simple défaillance technique qui en est à son origine ; elle pose également des questions majeures d’ordre constitutionnel. Elle appelle le Mexique à repenser son arsenal juridique en matière de protection des données, à renforcer la responsabilité institutionnelle et à se rapprocher des normes mondiales. Cette affaire confirme, s’il en était encore besoin, que la protection des données n’est plus une préoccupation périphérique, mais bien un pilier essentiel de l’État de droit.

*****

ENRIQUE OCHOA DE GONZÁLEZ ARGUELLES
&
STEPHANY HERNÁNDEZ SIMÓN
&
OMAR ALEJANDRI RODRÍGUEZ

mexico@lexing.network

Introduction

La loi sur la protection des données de 2023 (NDPA) instaure un cadre législatif complet en matière de protection des données au Nigeria.

Avant son entrée en vigueur, le texte de référence en matière était le règlement nigérian sur la protection des données de 2019 (NDPR), édicté par l’agence nationale de développement des technologies de l’information (NITDA). Ce règlement a joué un rôle moteur dans l’émergence et l’effectivité du droit de la protection des données dans le pays, et contribué à la sensibilisation du public à ces enjeux. Une directive exécutive a par la suite institué le Bureau nigérian de protection des données (NDPB), autorité indépendante chargée de veiller à l’application du NDPR.

L’adoption du NDPA a conduit à la transformation du NDPB en Commission nigériane de protection des données (NDPC). Depuis, cette Commission a connu une activité répressive soutenue, parallèlement à une augmentation notable des actions contentieuses initiées par des acteurs privés.

Les faits

A la suite de commandes passées sur la plateforme Jumia Foods exploitée par la société Ecart Internet Services (ci-après « Ecart »), pour des repas fournis par la société Eat ‘N’ Go Limited, M. Chukwunweike Akosa Araka a reçu des messages marketing non sollicités émanant de cette dernière. Après s’en être plaint auprès d’Ecart et avoir demandé la cessation de ces envois, les messages ont cessé. Ils ont toutefois repris automatiquement à l’occasion d’une commande ultérieure effectuée par M. Araka.

Araka a engagé une action en justice auprès de la Cour fédérale du Nigeria contre ces deux sociétés, qu’il considère chacune comme responsable du traitement de ses données, pour atteinte à son droit constitutionnel à la vie privée, non-respect de son droit à l’effacement en violation de la section 34(2) de la NDPA, et traitement de ses données à des fins de prospection sans son consentement en violation des sections 25 et 26 de la NDPA.

La première défenderesse est la société Ecart, propriétaire de Jumia Foods, une plateforme de livraison en ligne de repas qui a depuis cessé ses activités. Elle soutient que l’exécution des commandes de ses clients implique nécessairement la collecte et le traitement de données à caractère personnel, et affirme que M. Araka, qui a accepté les conditions générales et la politique de confidentialité de Jumia Foods, a de fait consenti au partage de ses données avec des tiers, en ce y compris la deuxième défenderesse, aux fins du traitement de ses commandes.

La deuxième défenderesse est Eat ‘N’ Go Limited, une société de restauration partenaire de Jumia Foods. Elle met avant le contrat de service conclu avec Ecart et indique que ses messages marketing sont envoyés de manière groupée aux clients, actuels ou passés, et incluent la possibilité de se désinscrire (opt-out).

La décision de la Haute Cour fédérale du Nigeria

Dans son jugement rendu le 18 février 2025, la Haute Cour fédérale a d’emblée rappelé que le droit constitutionnel à la vie privée s’étend aux données à caractère personnel et que la NDPA a pour objectif de garantir un traitement licite, transparent et responsable des données personnelles. Selon la Cour, toute violation de la NDPA constitue une atteinte au droit constitutionnel à la vie privée et ouvre droit à réparation.

La Cour a accueilli l’argument d’Ecart selon lequel le demandeur avait consenti au traitement de ses données en acceptant les documents contractuels, relevant que ce point n’était d’ailleurs pas contesté par le demandeur. Au visa de la section 131 de la loi sur la preuve, la Cour a estimé que le demandeur n’avait pas démontré que ses données avaient été traitées au-delà de la finalité pour laquelle elles avaient été collectées.

S’agissant de la base légale du traitement, la Cour note que le traitement était fondé sur l’exécution d’un contrat pour la passation et la livraison de commandes de repas et donc valable au titre de la section 25(1)(b) de la NDPA. Elle a toutefois constaté qu’aucune stipulation contractuelle n’autorisait l’envoi de messages de prospection non sollicités, et a dès lors considéré que les communications marketing envoyées par Eat ‘N’ Go Limited étaient illicites et constituaient une violation du droit à la vie privée du demandeur.

Enfin, la Cour a qualifié les défenderesses respectivement de responsable du traitement et de sous-traitant au sens de la NDPA. Elle a établi que la conservation des données personnelles du demandeur par Eat ‘N’ Go Limited contrevenait à la section 34(2) de la NDPA, et que ce traitement était dépourvu de base légale et de consentement valable.

En conséquence, Eat ‘N’ Go Limited a été condamnée au paiement de 3 000 000 nairas nigérians (environ 1800 euros) à titre dommages et intérêts.

Commentaire

Trois observations peuvent être formulées sur cette décision de la Haute Cour fédérale :

• premièrement, s’agissant de l’appréciation du consentement au titre de la section 26 de la NDPA, la Cour ne précise pas les modalités selon lesquelles ce consentement aurait été recueilli, semblant considérer que l’acceptation des documents contractuels suffit. Or, les sections 26(3) et 26(7) de la NDPA exigent que le consentement découle d’un acte positif clair et dénué ambiguïté, excluant explicitement le silence, l’inaction ou les cases pré-cochées ;
• deuxièmement, la Cour n’a pas examiné la possibilité de fonder les communications marketing d’Eat ‘N’ Go Limited sur l’intérêt légitime prévu à la section 25(1)(v) de la NDPA. Ce fondement peut pourtant être pertinent lorsqu’il existe une relation préexistante et que la prospection s’inscrit dans les attentes raisonnables de la personne concernée ;
• troisièmement, en jugeant que le consentement était strictement limité au traitement des commandes, la Cour semble confondre la notion de consentement avec celle de l’intérêt légitime, écartant ainsi la possibilité pour Eat ‘N’ Go Limited d’invoquer ce dernier comme base légale alternative du traitement.

Conclusion

Ce jugement s’inscrit dans la dynamique de reconnaissance croissante, par les juridictions nigérianes, des droits à la protection des données. Il érige le non-respect de la NDPA en violation constitutionnelle, et l’assorti de conséquences financières significatives. Il souligne la nécessité pour les responsables du traitement et les sous-traitants de respecter strictement des finalités du traitement, de mettre en place des pratiques de consentement robustes et de se doter de mécanismes de gouvernance efficaces pour garantir les droits des personnes concernés, tels que le droit à l’effacement et le droit d’opposition à la prospection. Il met également en évidence des incertitudes entourant l’interprétation des notions de consentement et d’intérêt légitime. Dans ce contexte, les organisations sont invitées à relever leur niveau de conformité, à déployer des mécanismes de consentement explicite (opt-in) et à documenter rigoureusement les bases légales de leurs traitements afin de réduire les risques réglementaires et contentieux. Il est impératif de se doter en amont de dispositifs de conformité solides pour protéger sa réputation, limiter les risques de contrôles et éviter de lourdes sanctions financières.

CHUKWUYERE IZUOGU
nigeria@lexing.network

Gare aux ragots ! En Nouvelle Zélande, des commérages internes concernant le refus d’un employé de se soumettre à un test de dépistage de drogues ont coûté 30 000 dollars néo-zélandais à un employeur. Les bavardages sur le lieu de travail peuvent ainsi enfreindre la loi sur la vie privée.

En mars 2025, le tribunal d’examen des droits de l’Homme (Human Rights Review Tribunal) a ordonné à la société KAM Transport Limited de verser 30 000 dollars néo-zélandais à un de ses anciens employés après avoir conclu que l’entreprise avait porté atteinte à sa vie privée (1). L’affaire découlait de la divulgation interne d’informations sensibles, qui a conduit à des rumeurs préjudiciables concernant l’employé, notamment une fausse allégation selon laquelle il était impliqué dans un trafic de drogue. Les conclusions du tribunal rappellent que les obligations en matière de confidentialité s’appliquent également aux conversations internes et que des discussions informelles sur le lieu de travail peuvent exposer les employeurs à des risques juridiques et réputationnels.

Contexte

Cummings, un chauffeur routier employé de longue date de la société KAM, a été sélectionné pour se soumettre à un test de dépistage de drogues aléatoire au travail en août 2020. Il a refusé de se soumettre au test, déclenchant ainsi une procédure disciplinaire comme le permettait son contrat de travail. Après avoir obtenu un résultat négatif à ce test une semaine plus tard, il a repris ses fonctions.

Cependant, quelques jours après son retour, un cariste sur le site d’un client a fait part à Cummings d’une rumeur selon laquelle il aurait été licencié pour avoir échoué à un test de dépistage de drogues et serait un trafiquant de drogue. Il est rapidement apparu que cette rumeur provenait de la société KAM et s’était ensuite propagée aussi bien à l’intérieur qu’en dehors de celle-ci.

Mauvaise conduite de l’employeur

Le tribunal a accueilli les arguments présentés par Cummings selon lesquels la source de la fuite était le directeur de la succursale de KAM. Celui-ci aurait divulgué le refus du test de dépistage à un chauffeur sans responsabilités d’encadrement et cet employé a transmis l’information à d’autres personnes, y compris au personnel d’un site client. KAM a nié que la divulgation a eu lieu et n’a donc pas tenté de la justifier, à titre subsidiaire, en se fondant sur une des exceptions prévues par la loi néo-zélandaise sur la protection de la vie privée (Privacy Act 2020). Le tribunal a donc conclu que la divulgation interne s’était bel et bien produite.

Eléments examinés par tribunal

Le tribunal s’est concentré sur le principe de protection n°11 prévu par la loi sur la protection de la vie privée, qui prévoit que les informations personnelles ne doivent pas être divulguées, à moins qu’une des exceptions légales ne s’applique. L’une de ces exceptions, énoncée au principe de protection n°11 (a)(i), autorise la divulgation lorsqu’elle est directement liée à la raison pour laquelle l’information a été collectée à l’origine (2). Cependant, comme indiqué ci-dessus, la société KAM n’a invoqué, pour sa défense, ni cette exception ni aucune autre. Le tribunal a également fait référence au principe de protection n°10, qui encadre la manière dont les informations personnelles peuvent être utilisées au sein d’une entreprise (3).

Le tribunal a tiré trois conclusions essentielles :

• l’information était sensible : elle concernait un refus de test de dépistage de drogues, pouvant entraîner une stigmatisation et un risque pour la réputation.
• la personne avec qui elle a été partagée n’avait pas besoin de la connaître : le destinataire de l’information n’était pas un manager et ne jouait aucun rôle dans la procédure disciplinaire.
• aucune exception légale ne s’appliquait : la divulgation n’était opérationnellement pas nécessaire et n’était pas permise en vertu de la loi sur la protection de la vie privée.

Le tribunal a estimé que la divulgation avait causé un préjudice émotionnel important à Cummings. La société KAM a fait valoir que les commentaires adressés à Cummings relevaient de la plaisanterie et que la situation avait été exagérée. Le Tribunal n’a pas été convaincu par cet argument et a, au contraire, considéré que Cummings avait été profondément affecté par la divulgation : il s’est senti humilié, a perdu confiance en lui, a souffert d’anxiété et de dépression, et a eu peur pour sa sécurité lorsqu’il se rendait dans certaines zones de l’entreprise.

Au final, Cummings a démissionné affirmant que l’incident avait irrémédiablement brisé la confiance qu’il avait envers son employeur. Toutefois, le tribunal a refusé de lui accorder une indemnisation pour perte de revenu, estimant que la société KAM avait fait des efforts pour le soutenir et que la violation de la vie privée, bien que grave, n’avait pas directement entrainé sa démission.

Décision du tribunal

Le tribunal a condamné la société KAM à verser 30 000 dollars néo-zélandais à Cummings en réparation du préjudice émotionnel subi. Il a également constaté formellement la violation par la société de ses droits à la vie privée. L’indemnisation accordée est fondée sur la gravité de la fuite de données, la sensibilité des informations divulguées et l’impact à long terme causé à Cummings. Le tribunal a retenu une gravité modérée pour cette atteinte à la vie privée et précisé qu’il n’avait relevé aucun comportement aggravant de la part de la direction de la société KAM au-delà de la divulgation initiale.

Conclusion

Cette affaire est une piqûre de rappel salvatrice pour les entreprises : les obligations en matière de protection de la vie privée s’appliquent à toutes les communications, y compris celles survenant sur le lieu de travail. Les informations concernant les tests de dépistage de drogues du personnel, les procédures disciplinaires ou encore les préoccupations de santé ne doivent être partagées que selon un strict principe du besoin d’en connaître. En effet, une seule divulgation en dehors du cadre prévu par la loi sur la protection de la vie privée, même faite avec de bonnes intentions, peut causer un préjudice émotionnel grave, générer une lourde responsabilité juridique, et porter une atteinte considérable à la réputation et aux relations commerciales d’une entreprise.

*****

(1) Cummings v KAM Transport Limited [2025] NZHRRT 8

(2) Privacy Act 2020, section 22 (IPP 11)

(3) Privacy Act 2020, section 22 (IPP 10)

DAVID ALIZADE
newzealand@lexing.network

Les décisions rendues en matière de protection des données au Portugal en 2024-2025 révèlent qu’il est toujours délicat de trouver un équilibre entre le développement technologique, les pratiques administratives existantes et la protection des droits fondamentaux. Dans l’Union européenne, la Commission nationale de protection des données portugaise (CNPD) n’est généralement pas considérée comme une autorité particulièrement punitive ou prolifique en matière de sanctions. Cela pourrait changer. Ces dernières années ont en effet marqué un durcissement progressif de l’application des règles. La CNPD adopte désormais une approche plus ciblée, en intervenant prioritairement dans les activités à haut risque et affiche une vigilance accrue à l’égard du respect du RGPD par le secteur public.

Conformément au RGPD, la CNPD exerce ses missions en tant qu’autorité de contrôle indépendante, bénéficiant d’une autonomie administrative et financière. Elle assure la supervision de la conformité tant dans le secteur public que privé. Bien que son rapport d’activité pour l’année en cours n’ait pas encore été publié, les récentes mesures d’exécution et décisions rendues permettent d’ores tet déjà de dégager les grandes tendances qui structurent l’application du RGPD au Portugal.

L’année 2025 confirme un changement d’approche : l’accent ne porte plus seulement sur des violations ponctuelles, mais davantage sur l’évaluation globale de la conformité organisationnelle et structurelle, en particulier dans le secteur public. Cette évolution s’inscrit dans la continuité des pratiques de contrôle amorcées en 2024.

La jurisprudence portugaise confirme que les autorités publiques sont aujourd’hui pleinement soumises aux sanctions prévues par le RGPD et que ni les impératifs de commodité administrative ni l’invocation de l’intérêt général ne sauraient justifier un relâchement des obligations en matière de protection des données.

L’affaire Worldcoin

Bien que tranchée en 2024, l’affaire Worldcoin est intéressante car révélatrice des priorités de contrôle qui se sont affirmées en 2025. Le projet Worldcoin fondé sur une collecte massive de données biométriques, avait suscité de fortes inquiétudes concernant la transparence de son fonctionnement, la validité du consentement, l’accès des mineurs à ce dispositif et les effets à long terme liés à l’identification biométrique. Face à ces risques, la CNPD a ordonné la suspension temporaire de la collecte de données biométriques au Portugal, en coordination avec d’autres autorités de protection des données de l’Union européenne.

L’intérêt principal de cette affaire tient dans sa portée procédurale et réglementaire. Elle témoigne de la volonté de la CNPD d’intervenir en amont lorsque des opérations de traitement présentent des risques élevés, plutôt que de se cantonner à des mesures correctrices a posteriori. Cette démarche de précaution continue d’orienter l’action de l’autorité en cas de traitements sensibles et de technologiques particulièrement complexes.

Le « Russia Gate »

L’année 2025 a été marquée par l’affaire « Russia Gate » impliquant la municipalité de Lisbonne, accusée d’avoir divulgué des données personnelles concernant des organisateurs de manifestations et de mouvements de protestation. Le dossier a pris une ampleur particulière lorsque l’on a découvert que des informations relatives aux organisateurs de rassemblements contre l’emprisonnement d’Alexeï Navalny avaient été transmises à l’ambassade de Russie au Portugal.

L’enquête menée par la CNPD, ouverte dès 2021, a révélé l’existence d’une pratique administrative ancienne consistant à transmettre des données personnelles à des tiers sans base légale ni garanties adéquates. L’autorité a constaté plusieurs violations du RGPD et et prononcé une amende de 1,2 million d’euros, sanction confirmée par la justice administrative malgré les recours engagés par la municipalité.

En août 2025, la cour administrative d’appel a entériné la position de la CNPD. Elle a notamment rappelé que les collectivités locales doivent respecter, au même titre que les acteurs privés, les principes de licéité, de nécessité et de proportionnalité, consacrant ainsi la responsabilité du secteur public au regard du RGPD.

L’incident AIMA

Un autre évènement marquant illustre les tendances observées en 2025 : l’incident survenu au sein de l’Agence portugaise pour l’intégration, les migrations et l’asile (AIMA). A l’occasion d’une communication administrative, l’agence a divulgué par erreur les adresses électroniques de centaines de personnes, mettant en évidence des lacunes dans l’application des garanties élémentaires de confidentialité.

Bien que d’ampleur limitée, cet incident révèle des fragilités opérationnelles persistantes au sein de l’administration publique. Comme dans d’autres affaires récentes, la violation ne résultait pas d’un manquement intentionnel, mais plutôt de procédures obsolètes, de contrôles internes insuffisants et d’une intégration encore incomplète des principes du RGPD, tels que la minimisation et la sécurité des données, dans les pratiques quotidiennes.

Conclusions

L’année 2024-2025 a vu le Portugal adopter une approche plus structurée et ciblée du RGPD, tout particulièrement en ce qui concerne la responsabilité du secteur public et la mise en œuvre concrète des principes de protection des données dans les pratiques administratives.

Les affaires survenues au cours de cette période montrent que certaines procédures administratives, conçues avant l’entrée en vigueur du RGPD, ont dû être profondément révisées pour répondre aux normes actuelles. Dans ce contexte, plusieurs organisations publiques ont rencontré des difficultés importantes pour adapter leurs pratiques internes et assurer une conformité pleine et entière avec la législation européenne.

*****

(1) Loi n° 58/2019 du 8 août transposant, dans l’ordre juridique national, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Décret-loi n° 41/2023 du 2 juin créant l’Agence pour l’intégration, les migrations et l’asile (AIMA, I.P.), dotée de compétences administratives en matière de migration et d’asile, ainsi que le Bureau du Haut-Commissaire aux migrations, I.P. (ACM).

JOÃO G. GIL FIGUEIRA

portugal@lexing.network

En 2025, la Roumanie a maintenu une application rigoureuse des règles relatives à la protection des données, sous l’impulsion de l’autorité nationale de surveillance du traitement des données à caractère personnel (ANSPDCP). Cette dynamique traduit à la fois l’intérêt croissant du public pour le respect de la vie privée et le renforcement de la vigilance du régulateur. Elle s’inscrit dans la continuité de l’application du RGPD (règlement (UE) 2016/679) et de la législation nationale pertinente, notamment la loi n° 506/2004 relative à la confidentialité des communications électroniques.

Chiffres clés et tendances en matière d’application de la loi

Entre janvier et avril 2025, l’ANSPDCP a traité 3 048 plaintes, notifications et signalements de violations de données, qui ont conduit à l’ouverture de 153 enquêtes.

À l’issue de ces investigations, l’autorité a prononcé 52 amendes, pour un montant total d’environ 1,13 million de RON (soit près de 230 500 eurosprocédures 68 avertissements, 96 mesures correctives ainsi que deux cessations de traitement.

Les sanctions ont principalement visé la divulgation illicite de données (en ligne ou dans l’espace public), l’utilisation disproportionnée ou non autorisée de systèmes de vidéosurveillance, l’absence de réponse aux demandes de personnes concernées, des opérations de marketing direct sans consentement et des mesures de sécurité insuffisantes, notamment à la suite de cyberincidents (1).

Ces chiffres confirment non seulement la fréquence des plaintes et des notifications de violations de données, mais aussi la capacité de l’ANSPDCP à mener ses enquêtes à leur terme. Ils illustrent de manière concrète la mise en œuvre des principes de responsabilité, de transparence et de sécurité en matière de protection des données.

Affaires et sanctions notables en 2025

• Failles de sécurité et violations de données

La société Prime Transaction SA a été sanctionnée après une cyberattaque survenue en juin 2025, qui a entraîné l’exposition d’un volume important de données personnelles (noms, adresses, codes fiscaux, informations bancaires et documents d’identité etc.). L’enquête a révélé l’absence de mesures techniques et organisationnelles adéquates, en violation des exigences de sécurité prévues à l’article 32 du RGPD. L’entreprise s’est vu infliger une amende d’environ 2 000 euros (10 162,20 RON) (2).

En octobre 2025, l’ANSPDCP a également sanctionné la société Cucina di Fabio S.R.L., à la suite d’une plainte liée à l’envoi de courriels de prospection commerciale non sollicités. Il est apparu que la société collectait des adresses électroniques et diffusait des messages commerciaux sans vérifier l’identité réelle des destinataires ni s’assurer de l’existence d’un consentement explicite pour recevoir des communications de marketing électronique. Deux amendes ont été prononcées : 1 000 euros pour traitement illicite des données et 2 000 euros pour insuffisance des mesures de protection des données (3).

Dans une autre affaire, une violation de l’article 32 du RGPD a conduit à l’imposition d’une amende de 10 000 euros (4). Par ailleurs, le parti politique AUR a été condamné à une amende totale de 25 000 euros (5) à la suite de deux manquements graves au RGPD. Le premier concernait une faille de sécurité dans l’application aur.mobi, qui a exposé les données personnelles de sympathisants et de membres, révélant des mesures de sécurité inadéquates et une absence de protection des données dès la conception. Le second portait sur les plateformes semnezsivotez.ro et semnezsivotez.org, qui collectaient des données personnelles de manière excessive, sans base légale et au-delà des finalités annoncées. À l’issue des investigations, le parti a retiré les deux plateformes concernées.

Ces décisions témoignent de la fermeté accrue face aux failles de cybersécurité — en particulier lorsqu’elles résultent de violations ou d’attaques informatiques — et rappellent que les sanctions peuvent frapper des acteurs de tous secteurs et de toutes tailles, y compris les petites et moyennes entreprises.

• Surveillance non autorisée et suivi des employés

Plusieurs enquêtes ont mis au jour des pratiques de surveillance contraires au RGPD. Dans un premier dossier, une entreprise a été sanctionnée pour avoir suivi la géolocalisation GPS de ses salariés en dehors de leurs temps de travail, y compris pendant leurs congés, et pour avoir conservé ces données au-delà des durées autorisées. À l’issue de l’instruction (6), l’ANSPDCP a infligé une amende de 19 898 lei (près de 4 000 euros), assortie d’un avertissement.

Dans une autre affaire, il a été établi que la société ROUMASPORT SRL utilisait de manière illicite son système de vidéosurveillance pour exploiter les images de ses employés, notamment à des fins disciplinaires. Ces pratiques ont conduit à une amende de 5 000 euros et à une injonction de mise en conformité destinée à aligner les dispositifs de surveillance sur les exigences du RGPD (7).

Enfin, l’autorité roumaine de protection des données a sanctionné le lycée Vasile Conta de Târgu Neamț par deux avertissements, après avoir constaté une vidéosurveillance illégale et disproportionnée. Des caméras avaient notamment été installées dans des zones particulièrement sensibles, telles que les toilettes, et les flux vidéo étaient accessibles sans restriction. L’établissement traitait ainsi les images des élèves et du personnel en violation des principes du RGPD et sans mettre en place de mesures techniques et organisationnelles de sécurité adéquates (8).

• Violations liées aux sites web : cookies, transparence, consentement

Une affaire particulièrement médiatisée a concerné l’ancienne figure politique Călin Georgescu. Son site internet personnel a été sanctionné d’une amende de plus de 50 000 RON (soit environ 9800 euros) pour avoir utilisé des cookies et collecté des données personnelles sans consentement valable des utilisateurs ni information transparente. Entre décembre 2024 et avril 2025, des cookies de navigation ainsi que des données provenant de formulaires de contact (notamment noms, numéros de téléphone et adresses électroniques) ont été recueillis sans information claire ni véritable mécanisme de consentement, en violation de la loi n° 506/2004 et des obligations de transparence prévues par le RGPD (9).

Dans une autre affaire, la société Coral Travel & Tourism Services SRL a écopé d’une amende de 5 000 RON (soit environ 980 euros) pour avoir installé des cookies non essentiels sur son site web sans obtenir le consentement des internautes. L’autorité a estimé que l’entreprise ne respectait ni les exigences légales en matière de consentement libre et éclairé, ni les règles encadrant la mise en place de bandeaux cookies (10).

Ces décisions soulignent que même les exploitants de sites web « classiques » — qu’il s’agisse de personnalités publiques ou d’acteurs du secteur touristique — font l’objet d’un contrôle attentif. Le consentement des utilisateurs doit être explicite, les obligations de transparence strictement respectées et toute collecte de données personnelles fondée sur une base légale clairement identifiée.

Ce que l’année 2025 nous enseigne sur la protection des données en Roumanie

• a) La protection des données est plus qu’une simple formalité : le volume important de plaintes et d’enquêtes montre que les citoyens sont désormais très attentifs à l’usage de leurs données personnelles et n’hésitent pas à signaler les violations présumées. L’ANSPDCP donne suite à une part significative de ces signalements.
• b) Une conformité nécessairement proactive et continue: la série de sanctions prononcées en 2025 rappelle que la conformité au RGPD ne peut être envisagée comme un exercice ponctuel. Les responsables du traitement doivent surveiller en permanence leurs pratiques : réaliser des analyses d’impact lorsque nécessaire, mettre en place des mesures techniques et organisationnelles solides, garantir des mécanismes de consentement clairs et transparents, et assurer le respect effectif des droits des personnes concernées, notamment les principes de minimisation des données et de réponse rapide aux demandes.
• c) Les personnalités publiques ne sont pas au-dessus des règles: l’affaire Călin Georgescu montre que les personnalités publiques ou politiques sont soumises aux mêmes obligations que n’importe quel quidam. Ce message contribue à renforcer la crédibilité du système de contrôle et la confiance du public dans l’action de l’autorité de protection des données.

Conclusion

Les développements observés en Roumanie tout au long de l’année 2025 confirment que la protection des données n’est plus un simple principe théorique, mais bien une obligation réelle et effectivement sanctionnée. Avec plusieurs centaines d’enquêtes ouvertes, de nombreuses sanctions prononcées et des infractions allant des failles de cybersécurité aux mécanismes de consentement aux cookies non conformes, l’autorité nationale de protection des données exerce un contrôle actif, tant à l’égard des plateformes ouvertures au public que des pratiques internes des organisations. Le message adressé aux entreprises, aux administrations et plus largement à toute personne ayant une activité en ligne est sans ambiguïté : négliger ou sous-estimer les règles en matière de protection des données conduit désormais inévitablement à des sanctions.

*****

(1) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=%20Comunicat_Presa_23_05_2025&lang=ro

(2) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_16.10.2025

(3) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_26.11.2025

(4) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_01.09.2025

(5 Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_07_07_2025

(6) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_13_11_2024&lang=ro

(7) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_09.05.2025

(8) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_07.02.2025

(9) Communiqué ANSPDCP : https://www.dataprotection.ro/?page=Comunicat_Presa_16.07.2025 .

(10) Communiqué ANSPDCP : https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_14.10.2025

RAUL-FELIX HODOȘ
&
ALEXANDRA-DENISA SĂSĂRMAN

romania@lexing.network

Les faits

En octobre 2023, l’hôtel-casino Marina Bay Sands Pte Ltd (MBS) a été victime d’une violation de données. Les données à caractère personnel de plus de 500 000 personnes ont été consultées de manière illicite et mise en vente sur le dark Web. Un acteur malveillant a réussi à accéder sans autorisation à six comptes clients, qu’il a ensuite exploités pour accéder aux données d’autres membres. Cette intrusion résultait d’une erreur de configuration commise par un employé lors d’une opération de migration de logiciels chez MBS.

Décision de la PDPC et cadre des sanctions financières

• Constat de la PDPC

La Commission singapourienne de protection des données personnelles (PDPC) a estimé que MBS avait, par négligence, manqué à son obligation de protection au titre de la loi de 2012 sur la protection des données personnelles de Singapour (PDPA), en n’ayant pas mis en place des mesures de sécurité raisonnables pour limiter les risques d’erreur humaine lors de l’opération de migration logicielle.

Dans un premier temps, la PDPC a fixé le montant de la sanction à 450 000 dollars singapouriens (environ 300 000 euros), en tenant compte du niveau de chiffre d’affaires annuel de MBS.

Ce montant a, dans un deuxième temps, été ramené à 315 000 dollars singapouriens (environ 208 000 euros) au regard des mesures correctrices rapides et volontaires prises par MBS, notamment la notification de l’ensemble des personnes concernées, alors même qu’aucune obligation légale ne l’y contraignait.

Il s’agit de la deuxième sanction financière la plus élevée infligée par la PDPC depuis la promulgation de la PDPA (1) et de la première prononcée dans le cadre du régime renforcé de sanctions financières, introduit afin d’accroitre leur effet dissuasif et de rappeler le rôle central de la protection des données dans l’économie numérique.

• Cadre de calcul objectif

Le nouveau cadre de sanctions financières fixe le plafond légal d’une sanction financière à 10 % du chiffre d’affaires annuel total réalisé à Singapour lorsque celui-ci dépasse 10 millions de dollars singapouriens.

A parti de ce plafond, la PDPC ajuste ensuite le montant de la sanction en tenant compte des circonstances aggravantes et atténuantes (telles que le degré de coopération dans le cadre de l’enquête ou la notification volontaire de la violation), de la situation financière de l’entreprise, ainsi que de la nécessité que la sanction soit effective, dissuasive et proportionnée.

Dans l’application de ce nouveau dispositif, la PDPC s’appuie donc sur des principes directeurs clés, au premier rang desquels figurent l’effet dissuasif de la sanction et l’équilibre des intérêts en présence.

La décision relative à MBS apporte ainsi une plus grande lisibilité sur la méthodologie que l’autorité entend appliquer pour déterminer le montant des sanctions financières en cas de violation de la PDPA.

*****

(1) A ce jour, la sanction la plus élevée, soit 750 000 dollars singapouriens (environ 495 000 euros) été prononcée en 2019 à l’encontre de la société Integrated Health Information Systems Pte Ltd (IHiS) dans l’affaire Singapore Health Services Pte Ltd & Ors [2019] SGPDP.

WINNIE CHANG

singapore@lexing.network

En février 2025, la Cour suprême suédoise (1) a rendu deux décisions de principe qui apportent un éclairage déterminant sur la manière dont la Suède doit concilier ses traditions constitutionnelles de transparence et de liberté d’expression avec les exigences du droit de l’Union européenne en matière de protection des données.

La complexité juridique réside dans l’articulation de plusieurs cadres normatifs : le principe suédois d’accès public aux documents officiels (2), les garanties constitutionnelles suédoises accordées aux médias par la loi fondamentale sur la liberté d’expression (3), les règles de confidentialité prévues par la loi suédoise sur l’accès du public à l’information et sur le secret (4), et les exigences strictes du Règlement européen sur la protection des données (RGPD) (5), en particulier son article 10 concernant le traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions.

Ces décisions confirment que les juridictions suédoises doivent continuer à assurer l’accès aux documents publics, tout en encadrant plus strictement, désormais, les conditions dans lesquelles les acteurs privés peuvent traiter des données personnelles sensibles une fois ces documents obtenus.

La décision Trobar AB (affaire n° Ä 3169-24)

La première affaire concerne Trobar AB (« Trobar »), une société exploitant une base de données d’informations juridiques bénéficiant d’un certificat de publication (6) lui conférant une protection constitutionnelle en vertu de la loi fondamentale sur la liberté d’expression. Trobar avait sollicité auprès d’un tribunal de district l’accès à un volume important de décisions pénales. Cette demande avait été rejetée, le tribunal estimant que l’usage envisagé (incluant des fonctions de recherche par identifiants et des services d’alerte) contreviendrait à l’article 10 du RGPD, lequel encadre strictement le traitement des données relatives aux infractions pénales par des acteurs privés.

Saisie du litige, la Cour suprême suédoise a annulé la décision du tribunal et ordonné la communication des documents, tout en l’assortissant de conditions strictes (7). Trobar s’est ainsi vue interdire de divulguer les noms, numéros d’identité personnels ou adresses, de proposer des fonctionnalités de recherche reposant sur des identifiants personnels, ou encore de mettre en place des services d’alerte permettant d’identifier des personnes à partir des documents transmis.

La Cour a, à cette occasion, réaffirmé la primauté et l’applicabilité directe du droit de l’Union européenne, rappelant que l’article 10 du RGPD s’impose même lorsque la loi fondamentale sur la liberté d’expression confère une protection constitutionnelle. Si le principe suédois d’accès du public aux documents officiels oblige les juridictions à en assurer la communication, le chapitre 21, section 7 de la loi suédoise sur l’accès du public à l’information et sur le secret autorise néanmoins l’instauration de garanties lorsqu’il existe un risque de traitement des données en violation du RGPD. Une analyse de proportionnalité s’impose dès lors : l’accès aux documents peut être accordé, mais leur réutilisation numérique doit être strictement encadrée. Cette décision illustre une recomposition significative de l’équilibre entre le droit constitutionnel suédois et le droit européen de la protection des données.

La décision Nyhetsbyrån Siren c/ Panoptes Sweden AB (affaire n° Ä 3457-24)

La seconde affaire porte sur Nyhetsbyrån Siren (ci-après « Siren »), l’une des principales agences de presse suédoises, qui demandait un accès à de très nombreux documents relatifs à des affaires pénales. La cour d’appel avait fait droit à sa demande, mais avait conditionné l’accès à des restrictions strictes quant à l’usage des informations obtenues. Contestant ces restrictions, Siren a formé un recours, estimant que son activité journalistique, protégée par la loi fondamentale sur la liberté d’expression, devait la dispenser des exigences du RGPD.

La Cour suprême suédoise a confirmé la communication des documents concernés mais a, dans le même temps, révisé les conditions applicables. Notamment, elle a interdit à l’agence de rendre accessibles, via des bases de données interrogeables ou des services commerciaux, les noms, numéros d’identité personnels ou adresses des personnes concernées. La Cour a rappelé que l’article 10 du RGPD encadre le traitement des données relatives aux infractions pénales, indépendamment de leur finalité journalistique. Si l’article 85 du RGPD prévoit des dérogations au profit de la liberté d’expression et d’information, celles-ci ne sauraient justifier la constitution de bases de données pénales exhaustives et librement interrogeables. Conformément au chapitre 21, section 7, de la loi suédoise sur l’accès du public à l’information et sur le secret, les juridictions doivent ainsi continuer à garantir l’accès aux documents, tout en procédant, au cas par cas, à une mise en balance entre les impératifs de transparence, la liberté de la presse et la protection de la vie privée.

Conclusion

Ces deux décisions de la haute juridiction redéfinissent le cadre juridique de l’accès aux informations relatives aux affaires pénales en Suède. Si le principe suédois d’accès du public aux documents officiels demeure, le RGPD prend le relais dès que les données quittent la sphère judiciaire. Dans ce contexte, les tribunaux disposent de deux leviers essentiels : la limitation de l’usage d’identifiants personnels et la restriction des fonctionnalités de recherche des bases de données. Le message est clair : les protections constitutionnelles consacrées par la loi fondamentale sur la liberté d’expression ne priment pas sur le RGPD lorsque sont en cause des données pénales sensibles.

En somme, selon la Cour suprême, la tradition suédoise de transparence et les normes européennes de protection de la vie privée doivent coexister. A l’ère du numérique, ces décisions préservent le principe d’ouverture des données, tout en protégeant la vie privée des citoyens contre les dérives des traitements de données à grande échelle. Elles servent de boussole aux journalistes, juristes et éditeurs de bases de données juridiques pour naviguer entre les exigences de la liberté d’expression et d’information et celles de la protection des données personnelles.

*****

(1) Högsta domstolen

(2) Offentlighetsprincipen

(3) Yttrandefrihetsgrundlagen

(4) Offentlighets- och skretesslagen

(5) Dataskyddsförordningen

(6) utgivningsbevis

(7)  förbehåll

KATARINA BOHM HALLKVIST

sweden@lexing.network

Pour les entreprises opérant aux États-Unis, l’année 2025 a été marquée par un renforcement de la surveillance réglementaire et par l’évolution des obligations en matière de protection des données personnelles. Les USA restent un cas particulier : contrairement à l’Union européenne avec son règlement général sur la protection des données (RGPD), le pays ne dispose pas d’un cadre légal unifié mais d’un patchwork de lois étatiques et fédérales pour régir la sécurité des données, la vie privée et l’intelligence artificielle. Cette complexité – combinée à l’augmentation des litiges et des actions réglementaires – fait de la conformité un défi particulièrement difficile à relever pour les entreprises mondiales.

La Californie donne le ton

L’Etat de Californie confirme son statut de chef de file en matière de protection de la vie privée aux États-Unis. Deux affaires en particulier montrent pourquoi les entreprises internationales doivent suivre de près ce qui s’y passe.

Dans la première affaire, American Honda Motor Co. est devenue la première entreprise visée par une action publique de l’autorité californienne de protection (la CPPA) des données au titre de la CCPA (California Consumer Privacy Act), la loi californienne de protection de la vie privée. La société a écopé d’une amende de 632 500 dollars pour ne pas avoir respecté, sur son site Web, les signaux de refus envoyés par les navigateurs des internautes, et pour avoir, selon la CPPA, instauré des obstacles excessifs lors de la vérification des demandes d’exercice des droits formulées par les consommateurs. L’accord transactionnel conclu avec l’autorité a contraint Honda à repenser l’expérience utilisateur et à revoir ses contrats de publicité afin de se mettre en conformité (1).

Dans la seconde affaire, la société Tractor Supply Co. a accepté de payer 1,35 million de dollars après que la CPPA a estimé que ses mentions d’information étaient inadéquates et que ses mécanismes de refus (opt-out) étaient inefficaces (2).

La leçon à retenir est claire : les régulateurs ne s’attaquent plus seulement aux usages abusifs des données personnelles. Sont également dans leur ligne de mire les interfaces utilisateur mal conçues, qui utilisent des interfaces truquées (« dark patterns ») ou qui comportent des parcours de consentement défaillants. Autrement dit, pour les organisations internationales, la conformité ne se résume pas à afficher une politique de confidentialité ; elle suppose aussi de soigner la façon dont les options offertes aux utilisateurs en matière de vie privée leur sont concrètement présentées, et de veiller à ce que leurs choix soient effectivement respectés. A cette fin, il est essentiel de disposer des mentions, politiques et procédures conformes aux exigences américaines.

Contentieux relatifs aux données des enfants et à l’IA

En juin 2025, l’autorité américaine de la concurrence (la Federal Trade Commission), a profondément révisé la loi sur la protection de la vie privée des enfants en ligne (Children’s Online Privacy Protection Act (COPPA)). Ces modifications élargissent la notion d’ « information personnelle » en y intégrant les données biométriques, et imposent désormais un consentement parental spécifique pour toute transmission à des tiers, y compris à des fins de publicité ciblée (3). Le renforcement des obligations applicables aux plateformes d’éducation numérique, de jeux et aux services destinés à un public mixte (mêlant adultes et mineurs) s’inscrit dans une tendance plus large aux USA qui va vers un contrôle accru des données sensibles.

Parallèlement, les litiges liés à l’intelligence artificielle se sont multipliés. Dans l’affaire The New York Times c/ OpenAI, un tribunal fédéral a ordonné à la société OpenAI de produire des millions de journaux (logs) anonymisés de ChatGPT. Les juges ont ainsi rejeté les objections d’OpenAI qui s’opposait à cette communication en invoquant la protection de vie privée de ses utilisateurs. Le tribunal a également étendu les obligations d’échange de preuves lors de la phase de « discovery » portant sur les données d’entraînement des systèmes d’IA. (4). Cette affaire confirme la tension grandissante entre les exigences de transparence et de protection de la vie privée appliquées aux systèmes d’IA, une dynamique observée à l’échelle mondiale alors que le règlement sur l’IA de l’UE entre progressivement en application.

Expansion de la mosaïque réglementaire et tendances des litiges

A la fin de l’année 2025, vingt États américains appliquaient des lois sur la protection de la vie privée des consommateurs, avec huit nouvelles lois entrées en vigueur en 2025 (5). Chacune instaure ses propres seuils et règles de consentement, rendant la conformité toujours plus complexe pour les entreprises multinationales. Dans le même temps, les actions de groupe et les enquêtes réglementaires s’intensifient, principalement contre les atteintes à la confidentialité, l’usage des données biométriques et les pratiques liées à l’IA. Pour obtenir gain de cause devant les tribunaux, les plaignants tentent d’étendre l’application de textes anciens – tels que ceux sur la confidentialité en matière de vidéos ou les interceptions de communications – aux nouvelles technologies. Un signal positif toutefois pour les entreprises : les juges exigent désormais une plus grande rigueur et précision dans la rédaction des plaintes.

Pour les entreprises internationales, cela traduit par un risque accru de contentieux. La vigilance s’impose d’autant plus que certaines clauses d’arbitrage ou de renonciation aux actions collectives peuvent ne pas être applicables en droit américain, tandis que les clauses standards offrent souvent une protection insuffisante (6).

Gestion du risque lié aux obligations en matière d’accessibilité numérique

Au-delà des questions de protection de la vie privée, le droit américain impose, de manière générale, des obligations d’accessibilité en vertu de la loi sur les personnes handicapées (Americans with Disabilities Act (ADA)). Les sites web et les applications mobiles n’y échappent pas et doivent être accessibles aux personnes en situation de handicap. Le non-respect de ces obligations peut entraîner des poursuites judiciaires et nuire à la réputation. L’année 2025 a été marquée par une nette hausse des contentieux liés à l’accessibilité, encouragée par le mécanisme de l’ADA qui permet à la partie victorieuse d’obtenir le remboursement de ses frais d’avocat. En somme, la mise en conformité avec les normes d’accessibilité (notamment WCAG 2.1) représente un investissement modeste au regard des risques contentieux encourus. Elle constitue ainsi une mesure de gestion des risques à fort impact et à coût relativement limité. (7).

Le facteur Trump

Bien qu’aucune grande loi fédérale sur la protection de la vie privée, la sécurité ou l’IA n’ait été adoptée en 2025, plusieurs décrets et orientations témoignent d’une volonté de déréglementation, visant à stimuler l’innovation et alléger les contraintes de conformité. Cette stratégie pourrait freiner l’élan vers l’adoption d’une loi fédérale sur la vie privée et laisser, de fait, le champ libre aux Etats américains pour poursuivre leurs propres initiatives de régulation. Ainsi, de nombreux Etats ont déjà révisé leurs textes pour y intégrer l’IA, et certains se sont dotés de cadres juridiques complets en la matière, recréant une mosaïque de règles malgré les efforts fédéraux pour réduire la bureaucratie et encourager l’innovation. À court terme, les États-Unis devraient donc rester marqués par un paysage juridique fragmenté, dominé par une supervision active au niveau local plutôt que par un régime fédéral unifié (8).

Législation sur l’IA et protection des données en 2025

Aux États-Unis, l’intelligence artificielle est de plus en plus encadrée, mais aucune loi fédérale spécifique ne régit encore l’IA ni ses effets sur les données personnelles. Ce vide est comblé par des initiatives étatiques disparates, donnant naissance à un patchwork d’exigences. En 2025, plus de la moitié des États américains ont adopté ou déposé des projets de loi relatifs à la gouvernance, à la supervision et à la transparence de l’IA. La Californie, le Texas et le Colorado font figure de pionniers, établissant des références en matière d’obligations de transparence et de gestion des risques, avec toutefois des différences marquées d’un État à l’autre quant aux délais de mise en conformité et aux exigences précises imposées aux acteurs (9) (10).

Dans ce paysage réglementaire morcelé, les organisations doivent surveiller de près les évolutions État par État et ajuster en permanence leurs dispositifs de conformité. Faute d’initiative du Congrès pour mettre en place un cadre fédéral unifié (11), ce sont les législations des États qui continueront de façonner la gouvernance de l’IA aux USA. Les entreprises se voient ainsi contraintes d’adopter des stratégies agiles et multi-juridictionnelles.

Conclusion et plan d’action

Si votre organisation traite les données personnelles de citoyens américains, la hausse des contentieux et des enquêtes réglementaires impose désormais une vigilance accrue. Comprendre précisément les obligations d’information et de traitement qui s’appliquent à votre organisation, puis structurer un véritable plan d’action devient indispensable pour limiter le risque de condamnations (dommages et intérêts, amendes). Figurent parmi les mesures prioritaires :

• réaliser, ou faire réaliser, une analyse des lois américaines applicables à votre organisation afin d’anticiper les obligations légales et les risques associés ;
• revoir vos mentions d’information, politiques de confidentialité et conditions d’utilisation pour vérifier leur conformité aux exigences propres à chaque État. Ne pas oublier que la conformité au RGPD ne garantit pas la conformité aux lois américaines, qui présentent de nombreuses spécificités et variations selon des Etats ;
• auditer les mécanismes de recueil du consentement et éliminer les « dark patterns » ;
• mettre à jour les contrats fournisseurs pour se conformer à la CCPA et aux autres lois fédérales et étatiques, en prévoyant une transmission en cascade des obligations contractuelles ;
• appliquer les normes d’accessibilité prévues par l’ADA, au moyen d’ajustements techniques et de la mise à jour des politiques internes et en ligne ;
• intégrer les exigences américaines dans les politiques internes, les mentions d’information et les mécanismes de consentement relatifs aux usages de l’IA ;
• envisager la souscription d’une assurance cyber solide, complétée par une assurance Tech E&O (Erreurs et omissions dans le secteur technologique), afin d’absorber la hausse des litiges et des sanctions réglementaires.

*****

(1) California Privacy Protection Agency, American Honda Motor Co. Enforcement Action, CPPA (2025), https://cppa.ca.gov

(2) California Privacy Protection Agency, Tractor Supply Co. Settlement, CPPA (2025), https://cppa.ca.gov

(3) Federal Trade Commission, FTC Finalizes COPPA Rule Changes, FTC (June 2025), https://ftc.gov

(4) U.S. District Court for the Southern District of New York, The New York Times v. OpenAI, Court Order (2025), https://courtlistener.com

(5) International Association of Privacy Professionals, 2025 U.S. State Privacy Law Overview, IAPP (2025), https://iapp.org

(6) U.S. Courts, Class Action Trends and Arbitration Enforcement, Administrative Office of the U.S. Courts (2025), https://uscourts.gov

(7) U.S. Department of Justice, ADA Website Accessibility Guidance, DOJ (2025), https://ada.gov

(8) White House, Executive Orders on Technology and Privacy, Federal Register (2025), https://federalregister.gov

(9) California Privacy Protection Agency, American Honda Motor Co. Enforcement Action, CPPA (2025), https://cppa.ca.gov

(10) California Privacy Protection Agency, Tractor Supply Co. Settlement, CPPA (2025), https://cppa.ca.gov

(11) Federal Trade Commission, FTC Finalizes COPPA Rule Changes, FTC (June 2025), https://ftc.gov

JENNIFER A. BECKAGE
&
LEE MERREOT

eastusa@lexing.network