[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$f9h2tRjeRbbklzt7Bp4XnOyNSpgxMdnf--4lhRQzhc5c":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":8,"wordCount":9,"readTime":10,"title":11,"nbDownloads":12,"excerpt":13,"lang":14,"url":15,"intro":16,"featured":4,"state":17,"author":18,"authorId":19,"datePublication":23,"dateCreation":24,"dateUpdate":25,"mainCategory":26,"categories":41,"metaDatas":47,"imageUrl":48,"imageThumbUrls":49,"id":57},true,"Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?Dastra vous propose **Dastra Insights**, une veille juridique et réglementaire **spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA**.\r\n\r\n🎯 **Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.**\r\n\r\nVoici notre sélection pour **novembre 2025** :\r\n\r\n## Projet Omnibus : la Commission ouvre la voie à une simplification majeure du cadre numérique européen\r\n\r\nLe **19 novembre 2025**, la Commission européenne a dévoilé son initiative dite de[ l’**« Omnibus numérique »**,](https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2718) un vaste ensemble de mesures destiné à **simplifier et moderniser** le cadre réglementaire qui encadre les activités numériques en Europe, du **RGPD** à l’**AI Act**, en passant par la **directive ePrivacy** et les règles de **cybersécurité**.L’objectif : améliorer la **compétitivité**, réduire la **complexité administrative** et apporter des **clarifications attendues** par les professionnels.\r\n\r\nParmi les ajustements proposés :\r\n\r\n- **report des obligations de l’AI Act** pour les systèmes à haut risque (désormais prévues pour décembre 2027) ;\r\n\r\n- **modifications ciblées du RGPD**\r\n\r\n- **simplification du consentement cookies** ;\r\n\r\n- création d’un **guichet unique** pour centraliser les notifications d’incidents de cybersécurité.\r\n\r\nCe train de mesures doit encore être examiné par le **Parlement européen** et le **Conseil**, mais il marque déjà un tournant dans l’évolution du droit numérique européen.\r\n\r\n> [Consultez notre webinaire à ce sujet par ici](https://www.dastra.eu/fr/guide/webinaire-digital-omnibus/59741)\r\n\r\n## DMA et RGPD : publication des lignes directrices conjointes Commission–CEPD\r\n\r\nLe **CEPD** et la **Commission européenne** ont publié leurs **premières lignes directrices conjointes** afin de clarifier l’articulation entre le **Digital Markets Act (DMA)** et le **RGPD**.Objectif : **simplifier la conformité**, renforcer la **cohérence d’application** et apporter davantage de **sécurité juridique** aux *gatekeepers*, entreprises utilisatrices, bénéficiaires et citoyens.\r\n\r\nLe texte rappelle que le RGPD et le DMA poursuivent des finalités complémentaires :\r\n\r\n- le **RGPD** protège les **droits et libertés** des personnes,\r\n\r\n- le **DMA** vise l’**équité et la contestabilité** des marchés numériques.\r\n\r\nLes lignes directrices expliquent notamment :\r\n\r\n- comment les gatekeepers doivent appliquer les exigences de **choix spécifique** et de **consentement valide** (Art. 5(2) DMA) lorsqu’ils souhaitent combiner ou réutiliser des données personnelles ;\r\n\r\n- comment mettre en œuvre, en conformité avec le RGPD, les obligations liées à la **portabilité**, aux **demandes d’accès**, à la **distribution d’applications tierces**, ou encore à l’**interopérabilité** des messageries.\r\n\r\n> 📅 **Une consultation publique est ouverte jusqu’au 4 décembre 2025.** Les contributions seront publiées, et le texte final sera adopté conjointement par le CEPD et la Commission. > > Accédez au projet des lignes directrices [ici](https://www.edpb.europa.eu/system/files/2025-10/joint_com-edpb_gls_interplay_dma_gdpr_for_public_consultation_en.pdf).\r\n\r\n---\r\n\r\n## CEPD : consultation parties prenantes sur l’anonymisation et la pseudonymisation\r\n\r\nLe CEPD organise un événement multiparties prenantes consacré aux **méthodes d’anonymisation et de pseudonymisation**, alors que plusieurs décisions récentes (SRB vs EDPS, Meta) ont fragilisé certaines pratiques courantes.L’événement vise à :\r\n\r\n- clarifier les attentes des autorités,\r\n\r\n- identifier les techniques réellement fiables,\r\n\r\n- préparer l’actualisation des lignes directrices du CEPD.\r\n\r\nLes autorités reconnaissent la tension actuelle entre innovation, IA, et conformité au RGPD, et cherchent à harmoniser les approches nationales.\r\n\r\n> Accédez [ici au communiqué du CEPD.](https://www.edpb.europa.eu/news/news/2025/anonymisation-and-pseudonymisation-take-part-stakeholder-event_en)\r\n\r\n## Décision d’adéquation Brésil : le CEPD adopte son avis\r\n\r\nLe **4 novembre 2025**, le CEPD a adopté à l’unanimité son **avis sur le projet de décision d’adéquation** présenté par la Commission européenne pour le **Brésil**, conformément à l’article 45 du RGPD.Si elle est adoptée, cette décision permettra aux organisations européennes de **transférer des données personnelles vers le Brésil sans garanties supplémentaires**, comme avec un pays « adéquat ».\r\n\r\nLe CEPD salue :\r\n\r\n- la **forte convergence** entre la loi brésilienne *LGPD* et le RGPD,\r\n\r\n- la cohérence avec la jurisprudence de la **CJUE**,\r\n\r\n- et l’effectivité globale des garanties prévues par le droit brésilien.\r\n\r\nLe Comité invite toutefois la Commission à clarifier et **surveiller certains éléments :** l’obligation de réaliser des **analyses d’impact (AIPD)** ; les limites possibles à la **transparence**, liées au secret commercial et industriel et les règles encadrant les **transferts ultérieurs**.\r\n\r\nLe CEPD note aussi que la loi brésilienne ne s’applique pas pleinement aux traitements effectués par les autorités publiques pour des finalités de **sécurité nationale** ou de **poursuites pénales**, mais se félicite qu’une **application partielle** soit prévue pour les enquêtes criminelles et le maintien de l’ordre, conformément à la jurisprudence brésilienne.\r\n\r\n> Le projet doit désormais être examiné par le comité des États membres avant adoption finale. > > Accédez à l'avis par [ici](https://www.edpb.europa.eu/system/files/2025-11/edpb_opinion_202528_brazil_adequacy_en_0.pdf)\r\n\r\n## Royaume-Uni : l’ICO consulte sur sa nouvelle approche d’enquête et de sanction\r\n\r\nL’ICO a ouvert une **consultation publique** sur son futur guide encadrant les procédures qu’elle applique lorsqu’elle suspecte une violation du **UK GDPR** ou du **Data Protection Act 2018**.\r\n\r\nLe texte précise également comment l’ICO utilisera ses **nouveaux pouvoirs** issus du *Data (Use and Access) Act 2025*, lui permettant d’exiger des réponses et des rapports de la part des organisations.\r\n\r\nLe projet aborde notamment :\r\n\r\n- Les critères d’ouverture d’une enquête ;\r\n\r\n- Le déroulement d’une enquête ;\r\n\r\n- Les décisions possibles (avertissement, rappel à l’ordre, amende, injonction) ;\r\n\r\n- Les conditions d’un règlement amiable avec réduction de sanction.\r\n\r\n> 📅 **Consultation ouverte jusqu’au 23 janvier 2026, [accessible sur ce lien.](https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/2025/10/ico-consultation-on-data-protection-enforcement-procedural-guidance/)**\r\n\r\n## Prospection directe : la CJUE clarifie la base légale applicable\r\n\r\nDans son arrêt **Inteligo Media SA du 13 novembre 2025**, la CJUE apporte une précision majeure concernant la **prospection directe par e-mail**. Jusqu’ici, les organisations associaient systématiquement ces traitements à une **base légale RGPD** (article 6), généralement le consentement ou l’intérêt légitime.\r\n\r\nLa Cour juge désormais que **l’article 13(2) de la directive ePrivacy (2002/58)** — transposé en France à l’article **L.34-5 CPCE** — constitue **en lui-même une base juridique suffisante** pour encadrer la prospection électronique, sans qu’il soit nécessaire de se rattacher à l’article 6 du RGPD.\r\n\r\n**En pratique :**\r\n\r\n- Le **consentement** reste valable et utilisable ;\r\n\r\n- Mais les responsables devront **expliquer explicitement** que le fondement juridique découle de l’article 13(2) ePrivacy (et de sa transposition nationale) ;\r\n\r\n- Une mise à jour des registres, notices et politiques de prospection pourrait être nécessaire pour refléter cette clarification.\r\n\r\n> Une décision qui va probablement entraîner des ajustements pratiques dans les démarches de conformité marketing.\r\n>\r\n> [Accédez à l'arrêt ici.](https://eur-lex.europa.eu/legal-content/FR/SUM/?uri=CELEX:62023CJ0654)\r\n\r\n---\r\n\r\n## Capita : violation de données touchant 6 millions de personnes\r\n\r\nL’ICO a prononcé une amende de **14 millions de livres sterling** contre Capita, à la suite d’une **cyberattaque en 2023** ayant entraîné le vol des données de **6,6 millions de personnes** (dossiers de pension, données RH, informations clients, et parfois données sensibles ou financières).\r\n\r\nL’enquête conclut à plusieurs manquements graves :\r\n\r\n- **Absence de mesures techniques et organisationnelles suffisantes**, laissant les systèmes vulnérables.\r\n\r\n- **Défaut de gestion des alertes de sécurité** : un signalement critique a été ignoré pendant **58 heures**, permettant à l’attaquant d’obtenir des permissions administrateur et d’exfiltrer près d’un téraoctet de données.\r\n\r\n- **Manque de tests d’intrusion** : certains systèmes n’avaient été testés qu’à leur mise en service.\r\n\r\n- **Absence de prévention de mouvements latéraux** dans le réseau, malgré plusieurs alertes internes antérieures.\r\n\r\nL’ICO rappelle que **la cybersécurité est un élément essentiel de la confiance numérique** et qu’aucune organisation, même de grande taille, n’est exemptée de ses obligations.\r\n\r\nPour info, initialement, l’autorité envisageait une amende de **45 M£**, réduite après les mesures correctives prises, la coopération de Capita et un règlement amiable. Capita a reconnu sa responsabilité et accepté la sanction.\r\n\r\n> Cliquez [ici pour plus d'informations.](https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/)\r\n\r\n---\r\n\r\n## CNIL : 750 000 € d’amende contre Les Publications Condé Nast pour manquements aux règles cookies\r\n\r\nLa CNIL a sanctionné **Les Publications Condé Nast** (éditeur notamment de *Vanity Fair*) d’une amende de **750 000 €** pour plusieurs violations persistantes de l’article 82 de la loi Informatique et Libertés concernant les **cookies et traceurs**.\r\n\r\nAprès une première plainte déposée en 2019 par l’association NOYB, une mise en demeure en 2021, puis une clôture en 2022, la CNIL a réalisé **de nouveaux contrôles en 2023 et 2025** montrant que le site [*vanityfair.fr*](http://vanityfair.fr) n’était toujours pas conforme.\r\n\r\n**Les principaux manquements relevés :**\r\n\r\n- **Dépôt de cookies soumis à consentement avant tout choix** : des cookies étaient installés dès l’arrivée sur le site, sans consentement préalable.\r\n\r\n- **Information insuffisante** : certains cookies étaient présentés comme « strictement nécessaires » sans explication claire sur leurs finalités réelles.\r\n\r\n- **Impossibilité de refuser ou retirer efficacement le consentement** : même après un clic sur « Tout refuser » ou un retrait du consentement, des cookies soumis à consentement continuaient d’être déposés ou lus.\r\n\r\nLa sanction tient compte : l’existence d’une **mise en demeure antérieure**, du **nombre d’utilisateurs concernés**, et de la répétition des manquements malgré les échanges avec la CNIL.\r\n\r\nUn rappel fort aux éditeurs : la conformité cookies nécessite une **mise en œuvre effective**, un **contrôle continu**, et des **mécanismes de refus réellement fonctionnels**.\r\n\r\n> Accédez à la délibération [ici.](https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052851847)\r\n\r\n## CNIL : lancement de l’enquête nationale 2025 “DPO et IA”\r\n\r\nLa CNIL ouvre une vaste enquête visant à mieux comprendre le **rôle des DPO face aux usages d’IA** dans les organisations françaises.L’essor de l'IA bouleverse les pratiques de traitement des données personnelles. Mais la CNIL cherche à répondre aux questions suivantes :\r\n\r\n- Quelle place pour les DPO dans cette nouvelle réalité ? Jusqu’où s’étend son champ d’intervention ?\r\n- Quels défis rencontrés au quotidien ?\r\n- De quels outils et formations ont-ils besoin ?\r\n\r\nPour répondre à ces questions, la CNIL ouvre une enquête nationale auprès des DPO, qu’ils exercent dans le public ou le privé. Sa position est la suivante : s’il doit être associé à toute utilisation de données personnelles, le DPO n’est pas nécessairement le pilote de la conformité au Règlement sur l’Intelligence Artificielle (RIA), qui mobilise d’autres compétences spécifiques.Cependant, le RIA représente une opportunité majeure : ses principes (approche par les risques, responsabilisation, transparence et protection des droits fondamentaux) prolongent ceux du RGPD. Les DPO disposent donc d’une base solide pour accompagner leurs structures vers une IA conforme et responsable.\r\n\r\n> 🔗 DPO, votre avis compte : participez à l’enquête [avant le 15 décembre 2025 par ici](https://www.cnil.fr/fr/dpo-a-lheure-de-lia-lancement-enquete-2025)\r\n\r\n---\r\n\r\n## Hongrie : adoption d’une loi nationale sur l’IA\r\n\r\nLa Hongrie devient l’un des premiers États membres à adopter une **loi nationale sur l’intelligence artificielle**, en complément de l’AI Act.La loi introduit :\r\n\r\n- des obligations sectorielles,\r\n\r\n- des exigences de transparence renforcées,\r\n\r\n- de nouvelles sanctions administratives.  Elle illustre une tendance croissante à la **nationalisation complémentaire** des règles IA en Europe.\r\n\r\n> [Accédez ici à la loi.](https://cdn.kormany.hu/uploads/document/c/c0/c0d/c0dfdbd37cfa520ae37361a168d244c85e7295af.pdf)\r\n\r\n## IA et CJUE : une nouvelle question préjudicielle devant la CJUE\r\n\r\nLa CJUE est saisie d’une nouvelle affaire (C-245/25) portant sur l’usage, par un expert judiciaire, d’un logiciel de simulation d’accidents assisté par IA. Le point central : ce type d’outil relève-t-il des **systèmes d’IA à haut risque** au sens de l’**AI Act** ?\r\n\r\nL’affaire découle d’un accident de la route. L’expert désigné a utilisé le logiciel *Virtual Crash 4.0*, conçu pour le marché américain, ce que l’une des parties conteste. Elle estime que l’outil n’était pas adapté et qu’un rapport d’expertise doit détailler l’ensemble des calculs effectués, ce que l’expert n’a pas pu fournir, se contentant d’affirmer avoir « vérifié » les résultats.\r\n\r\nLe tribunal bulgare a donc décidé de saisir la CJUE, invoquant notamment :\r\n\r\n- le principe d’**explicabilité**,\r\n\r\n- l’exigence de compréhension des processus décisionnels,\r\n\r\n- l’impact potentiel sur le **droit à un procès équitable** (art. 19 TUE).\r\n\r\nLes questions posées portent sur :\r\n\r\n- la qualification du logiciel en **IA à haut risque** (annexe III, point 8, AI Act),\r\n\r\n- la portée de l’**article 86 AI Act** sur le droit à une explication,\r\n\r\n- la possibilité, pour une juridiction, de s’appuyer sur un rapport basé sur un résultat algorithmique simplement « validé » par l’expert.\r\n\r\n> Reste à savoir si la CJUE répondra à l’ensemble de ces interrogations… > Plus dé détails [par ici !](https://curia.europa.eu/juris/showPdf.jsf?text=2024%252F1689&docid=306404&pageIndex=0&doclang=en&mode=req&dir=&occ=first&part=1&cid=9524520)\r\n\r\n## La Commission européenne lance un code de pratique sur le marquage des contenus générés par IA\r\n\r\nLa Commission européenne a annoncé la création d’un groupe de travail chargé d’élaborer un **code de pratique** pour le **marquage et l’étiquetage des contenus générés par IA**.Objectif : assurer une **identification claire** des contenus synthétiques, notamment des deepfakes, pour renforcer la transparence imposée par l’AI Act.Le code couvrira :\r\n\r\n- les formats de marquage (watermarks, métadonnées, avertissements visuels),\r\n\r\n- les obligations pour les fournisseurs d’IA générative,\r\n\r\n- les mesures techniques permettant la fiabilité du marquage.\r\n\r\nCe futur code, élaboré sur une période de sept mois par des **experts indépendants** sous la coordination de l’**EU AI Office**, sera un **outil volontaire** destiné aux fournisseurs et utilisateurs de systèmes d’IA générative.\r\n\r\n> Une première version est attendue début 2026. Le communiqué de la commission est [accessible ici.](https://digital-strategy.ec.europa.eu/en/news/commission-launches-work-code-practice-marking-and-labelling-ai-generated-content)\r\n\r\n---\r\n\r\n## Data Act : projet de clauses contractuelles types\r\n\r\nLa Commission européenne a publié la recommandation sur les **nouvelles clauses contractuelles types non contraignantes** destinées à faciliter la mise en œuvre du **Data Act**, notamment pour les **PME**.Ces modèles, utilisables et adaptables librement, visent à aider les organisations à structurer leurs contrats de partage de données et de services cloud.\r\n\r\n### **Modalités contractuelles types (MCT) – Partage obligatoire de données**\r\n\r\nTrois ensembles de MCT ont été élaborés pour couvrir les relations où le **partage de données est obligatoire** (chapitres II et III du Data Act) :\r\n\r\n1. **MCT Détenteur ↔ Utilisateur** : accès, usage et partage des données générées par un produit connecté ou un service associé.\r\n\r\n2. **MCT Utilisateur ↔ Destinataire** : conditions d'utilisation des données par le destinataire choisi par l’utilisateur.\r\n\r\n3. **MCT Détenteur ↔ Destinataire** : modalités de partage et éventuelle compensation financière.\r\n\r\nUn quatrième modèle vise le **partage volontaire de données** entre entreprises, conforme aux règles du chapitre IV sur les **clauses abusives**.\r\n\r\n### **Clauses contractuelles types (CCT) – Services cloud (chapitre VI)**\r\n\r\nTrois CCT traduisent les obligations liées à la **commutation entre fournisseurs** :\r\n\r\n- **Switching & Exit** : modalités de changement de prestataire.\r\n\r\n- **Résiliation** : dispositions applicables en fin de contrat.\r\n\r\n- **Sécurité & Continuité d’activité** : obligations en cas d’incident et garanties lors de la migration.\r\n\r\n> La p**rochaine étape consiste à traduire et à publier les TCM et les CCT d**ans toutes les langues de l’UE, ce qui devrait prendre de trois à quatre mois.\r\n>\r\n> Accédez [ici au communiqué de la Commission.](https://digital-strategy.ec.europa.eu/fr/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding)","\u003Cp>Vous en avez assez des newsletters généralistes qui survolent vos vrais enjeux ?\u003Cbr />\r\nDastra vous propose \u003Cstrong>Dastra Insights\u003C/strong>, une veille juridique et réglementaire \u003Cstrong>spécialement pensée pour les DPO, juristes et professionnels de la Privacy et de l'IA\u003C/strong>.\u003C/p>\r\n\u003Cp>🎯 \u003Cstrong>Une veille ciblée, utile et ancrée dans la réalité terrain de la protection des données et de l'IA.\u003C/strong>\u003C/p>\r\n\u003Cp>Voici notre sélection pour \u003Cstrong>novembre 2025\u003C/strong> :\u003C/p>\r\n\u003Ch2 id=\"projet-omnibus-la-commission-ouvre-la-voie-a-une-simplification-majeure-du-cadre-numerique-europeen\">Projet Omnibus : la Commission ouvre la voie à une simplification majeure du cadre numérique européen\u003C/h2>\r\n\u003Cp>Le \u003Cstrong>19 novembre 2025\u003C/strong>, la Commission européenne a dévoilé son initiative dite de\u003Ca href=\"https://ec.europa.eu/commission/presscorner/detail/fr/ip_25_2718\" rel=\"nofollow\"> l’\u003Cstrong>« Omnibus numérique »\u003C/strong>,\u003C/a> un vaste ensemble de mesures destiné à \u003Cstrong>simplifier et moderniser\u003C/strong> le cadre réglementaire qui encadre les activités numériques en Europe, du \u003Cstrong>RGPD\u003C/strong> à l’\u003Cstrong>AI Act\u003C/strong>, en passant par la \u003Cstrong>directive ePrivacy\u003C/strong> et les règles de \u003Cstrong>cybersécurité\u003C/strong>.\u003Cbr />\r\n\u003Cbr />\r\nL’objectif : améliorer la \u003Cstrong>compétitivité\u003C/strong>, réduire la \u003Cstrong>complexité administrative\u003C/strong> et apporter des \u003Cstrong>clarifications attendues\u003C/strong> par les professionnels.\u003C/p>\r\n\u003Cp>Parmi les ajustements proposés :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>report des obligations de l’AI Act\u003C/strong> pour les systèmes à haut risque (désormais prévues pour décembre 2027) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>modifications ciblées du RGPD\u003C/strong>\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>simplification du consentement cookies\u003C/strong> ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>création d’un \u003Cstrong>guichet unique\u003C/strong> pour centraliser les notifications d’incidents de cybersécurité.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Ce train de mesures doit encore être examiné par le \u003Cstrong>Parlement européen\u003C/strong> et le \u003Cstrong>Conseil\u003C/strong>, mais il marque déjà un tournant dans l’évolution du droit numérique européen.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://www.dastra.eu/fr/guide/webinaire-digital-omnibus/59741\">Consultez notre webinaire à ce sujet par ici\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"dma-et-rgpd-publication-des-lignes-directrices-conjointes-commissioncepd\">DMA et RGPD : publication des lignes directrices conjointes Commission–CEPD\u003C/h2>\r\n\u003Cp>Le \u003Cstrong>CEPD\u003C/strong> et la \u003Cstrong>Commission européenne\u003C/strong> ont publié leurs \u003Cstrong>premières lignes directrices conjointes\u003C/strong> afin de clarifier l’articulation entre le \u003Cstrong>Digital Markets Act (DMA)\u003C/strong> et le \u003Cstrong>RGPD\u003C/strong>.\u003Cbr />\r\n\u003Cbr />\r\nObjectif : \u003Cstrong>simplifier la conformité\u003C/strong>, renforcer la \u003Cstrong>cohérence d’application\u003C/strong> et apporter davantage de \u003Cstrong>sécurité juridique\u003C/strong> aux \u003Cem>gatekeepers\u003C/em>, entreprises utilisatrices, bénéficiaires et citoyens.\u003C/p>\r\n\u003Cp>Le texte rappelle que le RGPD et le DMA poursuivent des finalités complémentaires :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>le \u003Cstrong>RGPD\u003C/strong> protège les \u003Cstrong>droits et libertés\u003C/strong> des personnes,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>le \u003Cstrong>DMA\u003C/strong> vise l’\u003Cstrong>équité et la contestabilité\u003C/strong> des marchés numériques.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les lignes directrices expliquent notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>comment les gatekeepers doivent appliquer les exigences de \u003Cstrong>choix spécifique\u003C/strong> et de \u003Cstrong>consentement valide\u003C/strong> (Art. 5(2) DMA) lorsqu’ils souhaitent combiner ou réutiliser des données personnelles ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>comment mettre en œuvre, en conformité avec le RGPD, les obligations liées à la \u003Cstrong>portabilité\u003C/strong>, aux \u003Cstrong>demandes d’accès\u003C/strong>, à la \u003Cstrong>distribution d’applications tierces\u003C/strong>, ou encore à l’\u003Cstrong>interopérabilité\u003C/strong> des messageries.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>📅 \u003Cstrong>Une consultation publique est ouverte jusqu’au 4 décembre 2025.\u003C/strong> Les contributions seront publiées, et le texte final sera adopté conjointement par le CEPD et la Commission. \u003Cbr />\r\n\u003Cbr />\r\nAccédez au projet des lignes directrices \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-10/joint_com-edpb_gls_interplay_dma_gdpr_for_public_consultation_en.pdf\" rel=\"nofollow\">ici\u003C/a>.\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"cepd-consultation-parties-prenantes-sur-lanonymisation-et-la-pseudonymisation\">CEPD : consultation parties prenantes sur l’anonymisation et la pseudonymisation\u003C/h2>\r\n\u003Cp>Le CEPD organise un événement multiparties prenantes consacré aux \u003Cstrong>méthodes d’anonymisation et de pseudonymisation\u003C/strong>, alors que plusieurs décisions récentes (SRB vs EDPS, Meta) ont fragilisé certaines pratiques courantes.\u003Cbr />\r\n\u003Cbr />\r\nL’événement vise à :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>clarifier les attentes des autorités,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>identifier les techniques réellement fiables,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>préparer l’actualisation des lignes directrices du CEPD.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les autorités reconnaissent la tension actuelle entre innovation, IA, et conformité au RGPD, et cherchent à harmoniser les approches nationales.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Accédez \u003Ca href=\"https://www.edpb.europa.eu/news/news/2025/anonymisation-and-pseudonymisation-take-part-stakeholder-event_en\" rel=\"nofollow\">ici au communiqué du CEPD.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"decision-dadequation-bresil-le-cepd-adopte-son-avis\">Décision d’adéquation Brésil : le CEPD adopte son avis\u003C/h2>\r\n\u003Cp>Le \u003Cstrong>4 novembre 2025\u003C/strong>, le CEPD a adopté à l’unanimité son \u003Cstrong>avis sur le projet de décision d’adéquation\u003C/strong> présenté par la Commission européenne pour le \u003Cstrong>Brésil\u003C/strong>, conformément à l’article 45 du RGPD.\u003Cbr />\r\n\u003Cbr />\r\nSi elle est adoptée, cette décision permettra aux organisations européennes de \u003Cstrong>transférer des données personnelles vers le Brésil sans garanties supplémentaires\u003C/strong>, comme avec un pays « adéquat ».\u003C/p>\r\n\u003Cp>Le CEPD salue :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>la \u003Cstrong>forte convergence\u003C/strong> entre la loi brésilienne \u003Cem>LGPD\u003C/em> et le RGPD,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>la cohérence avec la jurisprudence de la \u003Cstrong>CJUE\u003C/strong>,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>et l’effectivité globale des garanties prévues par le droit brésilien.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Le Comité invite toutefois la Commission à clarifier et \u003Cstrong>surveiller certains éléments :\u003C/strong> l’obligation de réaliser des \u003Cstrong>analyses d’impact (AIPD)\u003C/strong> ; les limites possibles à la \u003Cstrong>transparence\u003C/strong>, liées au secret commercial et industriel et les règles encadrant les \u003Cstrong>transferts ultérieurs\u003C/strong>.\u003C/p>\r\n\u003Cp>Le CEPD note aussi que la loi brésilienne ne s’applique pas pleinement aux traitements effectués par les autorités publiques pour des finalités de \u003Cstrong>sécurité nationale\u003C/strong> ou de \u003Cstrong>poursuites pénales\u003C/strong>, mais se félicite qu’une \u003Cstrong>application partielle\u003C/strong> soit prévue pour les enquêtes criminelles et le maintien de l’ordre, conformément à la jurisprudence brésilienne.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Le projet doit désormais être examiné par le comité des États membres avant adoption finale. \u003Cbr />\r\n\u003Cbr />\r\nAccédez à l'avis par \u003Ca href=\"https://www.edpb.europa.eu/system/files/2025-11/edpb_opinion_202528_brazil_adequacy_en_0.pdf\" rel=\"nofollow\">ici\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"royaume-uni-lico-consulte-sur-sa-nouvelle-approche-denquete-et-de-sanction\">Royaume-Uni : l’ICO consulte sur sa nouvelle approche d’enquête et de sanction\u003C/h2>\r\n\u003Cp>L’ICO a ouvert une \u003Cstrong>consultation publique\u003C/strong> sur son futur guide encadrant les procédures qu’elle applique lorsqu’elle suspecte une violation du \u003Cstrong>UK GDPR\u003C/strong> ou du \u003Cstrong>Data Protection Act 2018\u003C/strong>.\u003C/p>\r\n\u003Cp>Le texte précise également comment l’ICO utilisera ses \u003Cstrong>nouveaux pouvoirs\u003C/strong> issus du \u003Cem>Data (Use and Access) Act 2025\u003C/em>, lui permettant d’exiger des réponses et des rapports de la part des organisations.\u003C/p>\r\n\u003Cp>Le projet aborde notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Les critères d’ouverture d’une enquête ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Le déroulement d’une enquête ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les décisions possibles (avertissement, rappel à l’ordre, amende, injonction) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Les conditions d’un règlement amiable avec réduction de sanction.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>📅 \u003Cstrong>Consultation ouverte jusqu’au 23 janvier 2026, \u003Ca href=\"https://ico.org.uk/about-the-ico/ico-and-stakeholder-consultations/2025/10/ico-consultation-on-data-protection-enforcement-procedural-guidance/\" rel=\"nofollow\">accessible sur ce lien.\u003C/a>\u003C/strong>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"prospection-directe-la-cjue-clarifie-la-base-legale-applicable\">Prospection directe : la CJUE clarifie la base légale applicable\u003C/h2>\r\n\u003Cp>Dans son arrêt \u003Cstrong>Inteligo Media SA du 13 novembre 2025\u003C/strong>, la CJUE apporte une précision majeure concernant la \u003Cstrong>prospection directe par e-mail\u003C/strong>. \u003Cbr />\r\n\u003Cbr />\r\nJusqu’ici, les organisations associaient systématiquement ces traitements à une \u003Cstrong>base légale RGPD\u003C/strong> (article 6), généralement le consentement ou l’intérêt légitime.\u003C/p>\r\n\u003Cp>La Cour juge désormais que \u003Cstrong>l’article 13(2) de la directive ePrivacy (2002/58)\u003C/strong> — transposé en France à l’article \u003Cstrong>L.34-5 CPCE\u003C/strong> — constitue \u003Cstrong>en lui-même une base juridique suffisante\u003C/strong> pour encadrer la prospection électronique, sans qu’il soit nécessaire de se rattacher à l’article 6 du RGPD.\u003C/p>\r\n\u003Cp>\u003Cstrong>En pratique :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>Le \u003Cstrong>consentement\u003C/strong> reste valable et utilisable ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Mais les responsables devront \u003Cstrong>expliquer explicitement\u003C/strong> que le fondement juridique découle de l’article 13(2) ePrivacy (et de sa transposition nationale) ;\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>Une mise à jour des registres, notices et politiques de prospection pourrait être nécessaire pour refléter cette clarification.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>Une décision qui va probablement entraîner des ajustements pratiques dans les démarches de conformité marketing.\u003C/p>\r\n\u003Cp>\u003Ca href=\"https://eur-lex.europa.eu/legal-content/FR/SUM/?uri=CELEX:62023CJ0654\" rel=\"nofollow\">Accédez à l'arrêt ici.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"capita-violation-de-donnees-touchant-6-millions-de-personnes\">Capita : violation de données touchant 6 millions de personnes\u003C/h2>\r\n\u003Cp>L’ICO a prononcé une amende de \u003Cstrong>14 millions de livres sterling\u003C/strong> contre Capita, à la suite d’une \u003Cstrong>cyberattaque en 2023\u003C/strong> ayant entraîné le vol des données de \u003Cstrong>6,6 millions de personnes\u003C/strong> (dossiers de pension, données RH, informations clients, et parfois données sensibles ou financières).\u003C/p>\r\n\u003Cp>L’enquête conclut à plusieurs manquements graves :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Absence de mesures techniques et organisationnelles suffisantes\u003C/strong>, laissant les systèmes vulnérables.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Défaut de gestion des alertes de sécurité\u003C/strong> : un signalement critique a été ignoré pendant \u003Cstrong>58 heures\u003C/strong>, permettant à l’attaquant d’obtenir des permissions administrateur et d’exfiltrer près d’un téraoctet de données.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Manque de tests d’intrusion\u003C/strong> : certains systèmes n’avaient été testés qu’à leur mise en service.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Absence de prévention de mouvements latéraux\u003C/strong> dans le réseau, malgré plusieurs alertes internes antérieures.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>L’ICO rappelle que \u003Cstrong>la cybersécurité est un élément essentiel de la confiance numérique\u003C/strong> et qu’aucune organisation, même de grande taille, n’est exemptée de ses obligations.\u003C/p>\r\n\u003Cp>Pour info, initialement, l’autorité envisageait une amende de \u003Cstrong>45 M£\u003C/strong>, réduite après les mesures correctives prises, la coopération de Capita et un règlement amiable. Capita a reconnu sa responsabilité et accepté la sanction.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Cliquez \u003Ca href=\"https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2025/10/capita-fined-14m-for-data-breach-affecting-over-6m-people/\" rel=\"nofollow\">ici pour plus d'informations.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"cnil-750-000-damende-contre-les-publications-conde-nast-pour-manquements-aux-regles-cookies\">CNIL : 750 000 € d’amende contre Les Publications Condé Nast pour manquements aux règles cookies\u003C/h2>\r\n\u003Cp>La CNIL a sanctionné \u003Cstrong>Les Publications Condé Nast\u003C/strong> (éditeur notamment de \u003Cem>Vanity Fair\u003C/em>) d’une amende de \u003Cstrong>750 000 €\u003C/strong> pour plusieurs violations persistantes de l’article 82 de la loi Informatique et Libertés concernant les \u003Cstrong>cookies et traceurs\u003C/strong>.\u003C/p>\r\n\u003Cp>Après une première plainte déposée en 2019 par l’association NOYB, une mise en demeure en 2021, puis une clôture en 2022, la CNIL a réalisé \u003Cstrong>de nouveaux contrôles en 2023 et 2025\u003C/strong> montrant que le site \u003Ca href=\"http://vanityfair.fr\" rel=\"nofollow\">\u003Cem>vanityfair.fr\u003C/em>\u003C/a> n’était toujours pas conforme.\u003C/p>\r\n\u003Cp>\u003Cstrong>Les principaux manquements relevés :\u003C/strong>\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Dépôt de cookies soumis à consentement avant tout choix\u003C/strong> : des cookies étaient installés dès l’arrivée sur le site, sans consentement préalable.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Information insuffisante\u003C/strong> : certains cookies étaient présentés comme « strictement nécessaires » sans explication claire sur leurs finalités réelles.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Impossibilité de refuser ou retirer efficacement le consentement\u003C/strong> : même après un clic sur « Tout refuser » ou un retrait du consentement, des cookies soumis à consentement continuaient d’être déposés ou lus.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>La sanction tient compte : l’existence d’une \u003Cstrong>mise en demeure antérieure\u003C/strong>, du \u003Cstrong>nombre d’utilisateurs concernés\u003C/strong>, et de la répétition des manquements malgré les échanges avec la CNIL.\u003C/p>\r\n\u003Cp>Un rappel fort aux éditeurs : la conformité cookies nécessite une \u003Cstrong>mise en œuvre effective\u003C/strong>, un \u003Cstrong>contrôle continu\u003C/strong>, et des \u003Cstrong>mécanismes de refus réellement fonctionnels\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Accédez à la délibération \u003Ca href=\"https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052851847\" rel=\"nofollow\">ici.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"cnil-lancement-de-lenquete-nationale-2025-dpo-et-ia\">CNIL : lancement de l’enquête nationale 2025 “DPO et IA”\u003C/h2>\r\n\u003Cp>La CNIL ouvre une vaste enquête visant à mieux comprendre le \u003Cstrong>rôle des DPO face aux usages d’IA\u003C/strong> dans les organisations françaises.\u003Cbr />\r\n\u003Cbr />\r\nL’essor de l'IA bouleverse les pratiques de traitement des données personnelles. Mais la CNIL cherche à répondre aux questions suivantes :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Quelle place pour les DPO dans cette nouvelle réalité ? Jusqu’où s’étend son champ d’intervention ?\u003C/li>\r\n\u003Cli>Quels défis rencontrés au quotidien ?\u003C/li>\r\n\u003Cli>De quels outils et formations ont-ils besoin ?\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Pour répondre à ces questions, la CNIL ouvre une enquête nationale auprès des DPO, qu’ils exercent dans le public ou le privé. \u003Cbr />\r\n\u003Cbr />\r\nSa position est la suivante : s’il doit être associé à toute utilisation de données personnelles, le DPO n’est pas nécessairement le pilote de la conformité au Règlement sur l’Intelligence Artificielle (RIA), qui mobilise d’autres compétences spécifiques.\u003Cbr />\r\n\u003Cbr />\r\nCependant, le RIA représente une opportunité majeure : ses principes (approche par les risques, responsabilisation, transparence et protection des droits fondamentaux) prolongent ceux du RGPD. Les DPO disposent donc d’une base solide pour accompagner leurs structures vers une IA conforme et responsable.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>🔗 DPO, votre avis compte : participez à l’enquête \u003Ca href=\"https://www.cnil.fr/fr/dpo-a-lheure-de-lia-lancement-enquete-2025\" rel=\"nofollow\">avant le 15 décembre 2025 par ici\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"hongrie-adoption-dune-loi-nationale-sur-lia\">Hongrie : adoption d’une loi nationale sur l’IA\u003C/h2>\r\n\u003Cp>La Hongrie devient l’un des premiers États membres à adopter une \u003Cstrong>loi nationale sur l’intelligence artificielle\u003C/strong>, en complément de l’AI Act.\u003Cbr />\r\n\u003Cbr />\r\nLa loi introduit :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>des obligations sectorielles,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>des exigences de transparence renforcées,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>de nouvelles sanctions administratives.\u003Cbr />\r\nElle illustre une tendance croissante à la \u003Cstrong>nationalisation complémentaire\u003C/strong> des règles IA en Europe.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Ca href=\"https://cdn.kormany.hu/uploads/document/c/c0/c0d/c0dfdbd37cfa520ae37361a168d244c85e7295af.pdf\" rel=\"nofollow\">Accédez ici à la loi.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"ia-et-cjue-une-nouvelle-question-prejudicielle-devant-la-cjue\">IA et CJUE : une nouvelle question préjudicielle devant la CJUE\u003C/h2>\r\n\u003Cp>La CJUE est saisie d’une nouvelle affaire (C-245/25) portant sur l’usage, par un expert judiciaire, d’un logiciel de simulation d’accidents assisté par IA. Le point central : ce type d’outil relève-t-il des \u003Cstrong>systèmes d’IA à haut risque\u003C/strong> au sens de l’\u003Cstrong>AI Act\u003C/strong> ?\u003C/p>\r\n\u003Cp>L’affaire découle d’un accident de la route. L’expert désigné a utilisé le logiciel \u003Cem>Virtual Crash 4.0\u003C/em>, conçu pour le marché américain, ce que l’une des parties conteste. Elle estime que l’outil n’était pas adapté et qu’un rapport d’expertise doit détailler l’ensemble des calculs effectués, ce que l’expert n’a pas pu fournir, se contentant d’affirmer avoir « vérifié » les résultats.\u003C/p>\r\n\u003Cp>Le tribunal bulgare a donc décidé de saisir la CJUE, invoquant notamment :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>le principe d’\u003Cstrong>explicabilité\u003C/strong>,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>l’exigence de compréhension des processus décisionnels,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>l’impact potentiel sur le \u003Cstrong>droit à un procès équitable\u003C/strong> (art. 19 TUE).\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Les questions posées portent sur :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>la qualification du logiciel en \u003Cstrong>IA à haut risque\u003C/strong> (annexe III, point 8, AI Act),\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>la portée de l’\u003Cstrong>article 86 AI Act\u003C/strong> sur le droit à une explication,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>la possibilité, pour une juridiction, de s’appuyer sur un rapport basé sur un résultat algorithmique simplement « validé » par l’expert.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>Reste à savoir si la CJUE répondra à l’ensemble de ces interrogations… \u003Cbr />\r\nPlus dé détails \u003Ca href=\"https://curia.europa.eu/juris/showPdf.jsf?text=2024%252F1689&amp;docid=306404&amp;pageIndex=0&amp;doclang=en&amp;mode=req&amp;dir=&amp;occ=first&amp;part=1&amp;cid=9524520\" rel=\"nofollow\">par ici !\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"la-commission-europeenne-lance-un-code-de-pratique-sur-le-marquage-des-contenus-generes-par-ia\">La Commission européenne lance un code de pratique sur le marquage des contenus générés par IA\u003C/h2>\r\n\u003Cp>La Commission européenne a annoncé la création d’un groupe de travail chargé d’élaborer un \u003Cstrong>code de pratique\u003C/strong> pour le \u003Cstrong>marquage et l’étiquetage des contenus générés par IA\u003C/strong>.\u003Cbr />\r\nObjectif : assurer une \u003Cstrong>identification claire\u003C/strong> des contenus synthétiques, notamment des deepfakes, pour renforcer la transparence imposée par l’AI Act.\u003Cbr />\r\n\u003Cbr />\r\nLe code couvrira :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>les formats de marquage (watermarks, métadonnées, avertissements visuels),\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>les obligations pour les fournisseurs d’IA générative,\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>les mesures techniques permettant la fiabilité du marquage.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Ce futur code, élaboré sur une période de sept mois par des \u003Cstrong>experts indépendants\u003C/strong> sous la coordination de l’\u003Cstrong>EU AI Office\u003C/strong>, sera un \u003Cstrong>outil volontaire\u003C/strong> destiné aux fournisseurs et utilisateurs de systèmes d’IA générative.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>Une première version est attendue début 2026. Le communiqué de la commission est \u003Ca href=\"https://digital-strategy.ec.europa.eu/en/news/commission-launches-work-code-practice-marking-and-labelling-ai-generated-content\" rel=\"nofollow\">accessible ici.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Chr />\r\n\u003Ch2 id=\"data-act-projet-de-clauses-contractuelles-types\">Data Act : projet de clauses contractuelles types\u003C/h2>\r\n\u003Cp>La Commission européenne a publié la recommandation sur les \u003Cstrong>nouvelles clauses contractuelles types non contraignantes\u003C/strong> destinées à faciliter la mise en œuvre du \u003Cstrong>Data Act\u003C/strong>, notamment pour les \u003Cstrong>PME\u003C/strong>.\u003Cbr />\r\n\u003Cbr />\r\nCes modèles, utilisables et adaptables librement, visent à aider les organisations à structurer leurs contrats de partage de données et de services cloud.\u003C/p>\r\n\u003Ch3 id=\"modalites-contractuelles-types-mct-partage-obligatoire-de-donnees\">\u003Cstrong>Modalités contractuelles types (MCT) – Partage obligatoire de données\u003C/strong>\u003C/h3>\r\n\u003Cp>Trois ensembles de MCT ont été élaborés pour couvrir les relations où le \u003Cstrong>partage de données est obligatoire\u003C/strong> (chapitres II et III du Data Act) :\u003C/p>\r\n\u003Col>\r\n\u003Cli>\u003Cp>\u003Cstrong>MCT Détenteur ↔ Utilisateur\u003C/strong> : accès, usage et partage des données générées par un produit connecté ou un service associé.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>MCT Utilisateur ↔ Destinataire\u003C/strong> : conditions d'utilisation des données par le destinataire choisi par l’utilisateur.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>MCT Détenteur ↔ Destinataire\u003C/strong> : modalités de partage et éventuelle compensation financière.\u003C/p>\r\n\u003C/li>\r\n\u003C/ol>\r\n\u003Cp>Un quatrième modèle vise le \u003Cstrong>partage volontaire de données\u003C/strong> entre entreprises, conforme aux règles du chapitre IV sur les \u003Cstrong>clauses abusives\u003C/strong>.\u003C/p>\r\n\u003Ch3 id=\"clauses-contractuelles-types-cct-services-cloud-chapitre-vi\">\u003Cstrong>Clauses contractuelles types (CCT) – Services cloud (chapitre VI)\u003C/strong>\u003C/h3>\r\n\u003Cp>Trois CCT traduisent les obligations liées à la \u003Cstrong>commutation entre fournisseurs\u003C/strong> :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cp>\u003Cstrong>Switching &amp; Exit\u003C/strong> : modalités de changement de prestataire.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Résiliation\u003C/strong> : dispositions applicables en fin de contrat.\u003C/p>\r\n\u003C/li>\r\n\u003Cli>\u003Cp>\u003Cstrong>Sécurité &amp; Continuité d’activité\u003C/strong> : obligations en cas d’incident et garanties lors de la migration.\u003C/p>\r\n\u003C/li>\r\n\u003C/ul>\r\n\u003Cblockquote>\r\n\u003Cp>La p\u003Cstrong>rochaine étape consiste à traduire et à publier les TCM et les CCT d\u003C/strong>ans toutes les langues de l’UE, ce qui devrait prendre de trois à quatre mois.\u003C/p>\r\n\u003Cp>Accédez \u003Ca href=\"https://digital-strategy.ec.europa.eu/fr/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding\" rel=\"nofollow\">ici au communiqué de la Commission.\u003C/a>\u003C/p>\r\n\u003C/blockquote>\r\n","Dastra Insights: que s'est-il passé au mois de novembre ? ","L'actualité conformité vue depuis la station Dastra: une veille utile pour celles et ceux qui travaillent au quotidien sur le terrain de la Privacy et de l'IA.",2546,14,"Dastra Insights : que s'est-il passé en novembre ? ",0,null,"fr","dastra-insights-que-sest-il-passe-en-novembre","L'actualité vue depuis la station Dastra : une veille utile pour celles et ceux qui travaillent au quotidien sur le terrain de la Privacy et de l'IA.","Published",{"id":19,"displayName":20,"avatarUrl":21,"bio":13,"blogUrl":13,"color":13,"userId":19,"creationDate":22},20352,"Leïla Sayssa","https://static.dastra.eu/tenant-3/avatar/20352/TDYeY3C8Rz1lLE/dpo-avatar-h01-150.png","2025-03-03T11:08:22","2025-11-24T15:39:04.61","2025-11-24T16:39:06.8909089","2025-12-09T09:08:29.8697089",{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":32},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[33,35,38],{"lang":14,"name":28,"description":34},"Une liste d'articles rédigés par la communauté",{"lang":36,"name":28,"description":37},"es","Una lista de artículos escritos por la comunidad",{"lang":39,"name":28,"description":40},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[42],{"id":27,"name":28,"description":29,"url":30,"color":31,"parentId":13,"count":13,"imageUrl":13,"parent":13,"order":12,"translations":43},[44,45,46],{"lang":14,"name":28,"description":34},{"lang":36,"name":28,"description":37},{"lang":39,"name":28,"description":40},[],"https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-original.jpg",[50,51,52,53,54,55,56],"https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-1000.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-1500.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-800.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-600.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-300.webp","https://static.dastra.eu/content/903dec65-fd41-4e56-aa79-e582a1a7f2ce/dastractu-100.webp",59750]