Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose Dastra Insights, une veille juridique et réglementaire spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA.
🎯 Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.
Voici notre sélection pour le mois de juin 2026 :
[IA / RGPD / Simplification réglementaire] Le paquet Omnibus avance sur l’AI Act et les obligations documentaires RGPD
Date: Juin 2026
Source: Parlement européen, Commission européenne, EDPB / EDPS
Le paquet Omnibus de simplification numérique reste un sujet central à suivre pour les équipes data, IA et conformité. Sur le volet AI Act, le Parlement européen a approuvé des mesures de simplification prévoyant notamment le report de certaines obligations applicables aux systèmes d’IA à haut risque, tout en maintenant l’approche par les risques de l’AI Act. Le texte prévoit également une interdiction visant certains systèmes de type “nudifier” et les contenus sexuels non consentis générés par IA.
Sur le volet RGPD, la Commission a proposé d’alléger certaines obligations de tenue du registre des activités de traitement, notamment pour les PME et certaines entreprises de taille intermédiaire, lorsque les traitements ne présentent pas un risque élevé pour les droits et libertés des personnes concernées. L’EDPB et l’EDPS ont accueilli favorablement l’objectif de réduction de la charge administrative, tout en rappelant que la simplification ne doit pas affaiblir les droits fondamentaux ni les principes structurants du RGPD.
Pour les juristes, DPO et équipes conformité, l’enjeu est double : suivre précisément les nouvelles échéances de mise en conformité AI Act, et éviter d’interpréter les mesures de simplification RGPD comme une dispense générale de documentation. Même en cas d’allègement formel du registre, les organisations devront rester en mesure de démontrer leur conformité, notamment pour les traitements à risque, les traitements sensibles, les traitements d’IA et les dispositifs impliquant une surveillance, un profilage ou une décision automatisée.
[AI Act / Transparence] La Commission publie le Code de pratique sur le marquage des contenus générés par IA
Date: 10 juin 2026
Source: Commission européenne
La Commission européenne publie le Code de pratique final sur le marquage et l’étiquetage des contenus générés ou manipulés par IA. Le code est volontaire, mais il vise à aider fournisseurs et déployeurs de systèmes d’IA générative à se préparer aux obligations de transparence de l’AI Act.
Les équipes juridiques doivent suivre ce sujet de près pour les chatbots, deepfakes, contenus d’intérêt public et interfaces utilisateurs. Le code peut devenir une référence pratique pour documenter les choix de labellisation, les contrôles internes et les arbitrages produit.
[AI Act / Gouvernance] L’AI Act Advisory Forum tient sa première réunion
Date: 22 juin 2026
Source: Commission européenne
La Commission a organisé la première réunion de l’AI Act Advisory Forum, organe consultatif prévu par l’article 67 de l’AI Act. Les discussions ont porté sur les règles de fonctionnement, la standardisation, le Code de pratique sur la transparence des contenus générés par IA et les lignes directrices relatives à la classification des systèmes d’IA à haut risque.
L’intérêt principal est institutionnel : l’écosystème d’interprétation et de mise en œuvre de l’AI Act se met en place. Les entreprises concernées doivent surveiller les contributions de ce forum, car elles peuvent influencer les standards, guides et attentes de conformité.
[RGPD / Mobilité connectée] La CNIL publie sa recommandation sur les données de localisation des véhicules connectés
Date: 30 juin 2026
Source: CNIL
La CNIL publie sa recommandation finale sur l’utilisation des données de localisation des véhicules connectés, après consultation publique. Le texte vise les constructeurs, loueurs, gestionnaires de flotte, fournisseurs télématiques et intermédiaires de données.
L’intérêt pratique est important : la CNIL clarifie notamment les cas où le consentement est requis au titre d’ePrivacy, la gestion des droits dans les véhicules multi-utilisateurs, la minimisation, les durées de conservation et les mesures de sécurité. Les acteurs de la mobilité devraient revoir leurs parcours d’information, leurs bases légales et leurs mécanismes de déconnexion ou de suppression des données embarquées.
[Mineurs / Technologies émergentes] Les autorités du G7 adoptent des principes sur la protection des mineurs
Date: 26 juin 2026
Source: CNIL
Réunies à Paris les 25 et 26 juin à l’invitation de la CNIL, les autorités de protection des données du G7 ont adopté des principes clés sur la protection des mineurs face aux technologies émergentes.
Même si ces principes ne créent pas directement de nouvelles obligations, ils donnent une indication utile des priorités de supervision : âge numérique, exposition des mineurs aux services en ligne, conception protectrice par défaut, transparence adaptée et responsabilité des fournisseurs. Pour les DPO, c’est un signal de convergence internationale sur les attentes applicables aux services utilisés par les enfants.
[UK GDPR / Réclamations] Nouvelle obligation britannique de traitement des plaintes data protection
Date: 23 juin 2026
Source: ICO
Impact: Fort
Confiance source: Élevée, source officielle
L’ICO confirme l’entrée en vigueur de nouvelles exigences issues du Data (Use and Access) Act : toutes les organisations traitant des données personnelles doivent offrir un mécanisme clair de plainte, accuser réception dans les 30 jours, enquêter de manière appropriée et communiquer l’issue de la plainte.
C’est une actualité très opérationnelle pour les équipes conformité au Royaume-Uni. Les organisations doivent vérifier leurs procédures de réclamation, les scripts de réponse, la traçabilité interne et l’articulation avec les demandes d’exercice de droits, les demandes d’accès et les plaintes marketing.
[IoT / Objets connectés] L’ICO finalise ses attentes pour les produits connectés grand public
Date: 11 juin 2026
Source: ICO
L’ICO publie sa guidance finale sur les produits et services IoT grand public. Elle couvre notamment les enceintes connectées, téléviseurs connectés, trackers de fitness, sonnettes connectées, hubs domestiques et appareils électroménagers.
L’autorité insiste sur la privacy by design, le paramétrage protecteur par défaut, le consentement réel et révocable, l’information au bon moment, les AIPD lorsque les données sont sensibles ou que des enfants peuvent utiliser le produit, ainsi que la sécurité continue. L’ICO annonce aussi un focus sur les téléviseurs connectés et la publicité ciblée, avec un enjeu clair de consentement et de transparence.
[Violations de données / RGPD] Le CEPD adopte un modèle commun de notification de violation
Date: 10 juin 2026
Source: EDPB / CEPD
Le CEPD adopte un modèle commun de notification des violations de données personnelles. L’objectif est d’harmoniser les informations transmises aux autorités de contrôle et de faciliter l’application de l’article 33 du RGPD.
C’est un outil directement exploitable pour les DPO : il peut servir de benchmark pour mettre à jour les procédures internes d’incident, les formulaires de collecte d’informations, les playbooks de notification à 72 heures et les échanges avec les équipes sécurité, IT et juridique.
[Droits des personnes / One-Stop-Shop] Le CEPD met à jour son digest sur le droit d’opposition et le droit à l’effacement
Date: 25 juin 2026
Source: EDPB / CEPD
Le CEPD publie une mise à jour de son digest One-Stop-Shop consacré au droit d’opposition et au droit à l’effacement. Le document s’appuie sur des décisions transfrontalières et présente les manières dont les autorités analysent les processus internes mis en place par les organisations.
Pour les équipes privacy, c’est une ressource utile pour tester la robustesse des procédures d’exercice des droits : demandes d’effacement de comptes, opposition au marketing direct, délais de réponse, traçabilité, mesures correctrices et cohérence entre filiales européennes.
[IA / Gouvernance des données] Les Émirats arabes unis annoncent la création d’une nouvelle autorité dédiée à l’IA et aux données
Date: 14 juin 2026
Source: Government of Dubai Media Office
Les Émirats arabes unis ont annoncé la création d’une nouvelle Artificial Intelligence and Data Authority, placée sous l’autorité du Cabinet et appelée à devenir l’organisme national unique compétent pour les données, l’intelligence artificielle et le gouvernement numérique. L’autorité regroupera notamment des fonctions auparavant exercées par l’Office of Artificial Intelligence, le secteur du gouvernement numérique au sein de la Telecommunications and Digital Government Regulatory Authority, ainsi que le UAE Data Office.
À ce stade, l’annonce ne s’accompagne pas d’un nouveau texte législatif. Elle mérite toutefois l’attention des juristes et équipes conformité, car les règlements d’application de la loi émiratie sur la protection des données restent attendus. La création d’une autorité intégrée couvrant à la fois les données, l’IA et les services numériques pourrait donc signaler une prochaine étape de structuration réglementaire.
Il conviendra également de suivre la manière dont les Émirats choisiront d’encadrer l’IA. Le pays dispose déjà de politiques, stratégies et lignes directrices, mais leur éventuelle traduction en obligations légales soulèvera des enjeux classiques et sensibles : protection des droits individuels, gouvernance des données, sécurité, transparence, tout en préservant l’attractivité économique et l’innovation commerciale.
