Données personnelles – Janvier 2025

France

• Rappel sur les règles tenant à la réutilisation de bases de données. Le 23 janvier 2025, la CNIL a rappelé que les responsables de traitement utilisant des bases de données librement accessibles en ligne ou fournies par des tiers doivent s’assurer que leur constitution ou leur partage n’est pas manifestement illicite. Elle rappelle les vérifications à réaliser préalablement à leur réutilisation.

Union Européenne

• Lignes directrices du CEPD sur la pseudonymisation: Le 17 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté de nouvelles lignes directrices sur la pseudonymisation. Ces recommandations visent à clarifier son application en conformité avec le RGPD. Les lignes directrices détaillent les mesures techniques et garanties à mettre en œuvre pour protéger la confidentialité des données. 

• La CJUE clarifie la notion de demande excessive auprès des autorités de contrôle . Dans l’arrêt C-416/23 du 9 janvier 2025, la CJUE précise notamment

 des demandes ne peuvent être qualifiées d’« excessives », au sens de l’article 57, paragraphe 4, de ce règlement, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à cette disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes. 

Sanctions & plaintes

• Condamnation de la Commission européenne pour transfert illicite de données. Le 8 janvier 2025, le Tribunal de l’Union européenne a condamné la Commission européenne à indemniser un citoyen allemand pour un transfert non autorisé de données personnelles vers les États-Unis via la plateforme EU Login. Le transfert concernait l’utilisation de l’option « se connecter avec Facebook » sur un site officiel, entraînant la transmission de données personnelles (notamment l’adresse IP) à Meta Platforms Inc. En l’absence de garanties adéquates, ce transfert a été jugé non conforme au règlement 2018/1725, à la lumière de la jurisprudence « Schrems II ». La Commission a été condamnée à verser 400 euros en compensation pour le préjudice moral causé.

• Fuite de données de la Fédération Française de Tir à l’Arc. Le 20 janvier 2025, la Fédération Française de Tir à l’Arc a communiqué sur une fuite de données personnelles survenue début janvier affectant 80 000 licenciés. Les mots de passe chiffrés liés aux espaces licenciés et dirigeants n’ont pas été compromis. 

• Transferts illégaux de données vers la Chine : plaintes contre TikTok, AliExpress, SHEIN et autres. L’organisation noyb a déposé six plaintes RGPD contre TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi dans cinq pays européens. Ces entreprises sont accusées de transférer illégalement les données personnelles des Européens vers la Chine, un État de surveillance autoritaire qui ne garantit pas un niveau de protection équivalent à celui de l’UE.

International

• TikTok aux États-Unis : retour de l’application après une interdiction temporaire. Le 19 janvier 2025, TikTok a été brièvement interdit aux États-Unis en raison de préoccupations liées à la collecte et à l’utilisation des données personnelles des utilisateurs américains par la Chine. Une loi validée par la Cour suprême exigeait la cessation de ses activités américaines. Suite à l’intervention du président élu Donald Trump, un accord provisoire a permis le rétablissement de l’application. 

Contact

Marine de la Clergerie (contact@mdc-avocat.fr, www.mdc-avocat, Consultation, LinkedIn), Avocat au Barreau de Toulouse, spécialiste en Droit du numérique et des communications, avec la qualification spécifique Droit des données à caractère personnel.