FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Retrouvez régulièrement un récap’ des informations qu’il ne fallait pas manquer.
RGPD et sous-traitance : les sous-traitants ne sont pas exclus du champ des sanctions de la CNIL
Le 11 décembre 2025, la CNIL a prononcé une amende de 1 million d’euros à l’encontre d’une société, agissant en qualité de sous-traitant, à la suite d’une violation de données.
Plusieurs manquements aux règles applicables en matière de sous-traitance ont été relevés :
- Conservation illicite d’une copie des données de plus de 46 millions d’utilisateurs après la fin de la relation contractuelle, en méconnaissance de l’obligation de suppression ;
- Réutilisation de ces données en dehors de toute instruction du responsable du traitement, notamment à des fins d’amélioration de ses propres services ;
- Absence de registre des activités de traitement en qualité de sous-traitant.
La CNIL a qualifié les traitements de suivi du comportement de personnes situées dans l’UE, fondant ainsi l’application du RGPD et sa compétence à agir, y compris à l’égard d’un acteur hors UE.
Lire la délibération de la CNIL du 11 décembre 2025 n°SAN-2025-014
Clause limitative de responsabilité et contrats IT : l’indemnisation limitée au préjudice effectivement subi
Le 27 novembre 2025, la Cour d’appel de Paris, statuant sur renvoi après cassation, a fait application de la clause limitative de responsabilité prévue dans un contrat informatique, en l’absence de faute lourde caractérisée à la charge du prestataire.
La Cour a ainsi considéré que l’erreur commise par le prestataire ne faisait pas obstacle à l’application de la clause, laquelle plafonnait l’indemnisation cumulée due par le prestataire à six fois la redevance mensuelle moyenne par année civile.
Alors que le préjudice du client était supérieur au montant du plafond de responsabilité, et en dehors d’une faute lourde, la Cour d’appel a réduit l’indemnisation du client en appliquant le plafond de responsabilité contractuellement convenu entre les Parties.
Lire l’arrêt de la Cour d’appel de Paris du 27 novembre 2025, n°24/14708
DSA : la Commission européenne a prononcé sa première amende pour manquement aux obligations de transparence
Depuis février 2024, le Digital Services Act (DSA) est pleinement applicable dans l’Union européenne (UE). Il impose des obligations renforcées aux très grandes plateformes en ligne, notamment en matière de transparence et de lutte contre les contenus illicites en ligne.
Le 5 décembre 2025, la Commission européenne a infligé à un réseau social une amende de 120 millions d’euros, après avoir constaté plusieurs manquements à ses obligations de transparence :
- Pratiques trompeuses dans la conception du service : un mécanisme d’authentification a été transformé en abonnement payant, sans vérification effective de l’identité des comptes, créant ainsi une confusion quant à la fiabilité des titulaires du badge ;
- Registre publicitaire non conforme : le registre des publicités ne permettait pas d’identifier clairement les annonceurs, les publicités diffusées, ni leurs paramètres de ciblage, faute de transparence et d’accessibilité suffisante ;
- Accès insuffisant aux données pour les chercheurs : les conditions de service limitaient l’accès aux données publiques de la plateforme, empêchant la conduite de recherches publiques indépendantes au sein de l’UE.
Le réseau social dispose désormais de 60 jours à 90 jours pour se mettre en conformité avec le DSA, sous peine d’astreintes.
Lire le communiqué de presse de la Commission européenne du 5 décembre 2025
Le Conseil d’État nuance l’analyse de la CNIL en matière de surveillance algorithmique des salariés
Par une décision du 23 décembre 2025, le Conseil d’État a réduit de 32 à 15 millions d’euros l’amende infligée par la CNIL à un géant du e-commerce.
Le Conseil d’État a jugé que certains outils de suivi de l’activité des salariés peuvent reposer sur l’intérêt légitime de l’employeur, dès lors qu’ils sont strictement encadrés. Il a ainsi considéré que les dispositifs en cause, qui ne s’appliquaient pas à l’ensemble des tâches et qui ne permettaient pas une surveillance continue de l’activité des salariés, avaient pour objectif la détection d’anomalies opérationnelles ou logistiques, et ne portaient pas une atteinte excessive à la vie privée ou aux conditions de travail des salariés.
En revanche, la haute juridiction a confirmé la sanction pour non-respect du principe de minimisation des données personnelles, considérant que la nature, le nombre, le niveau très élevé de précision des données des salariés et leur conservation indifférenciée étaient manifestement disproportionnés au regard des objectifs poursuivis par l’employeur.
Lire la décision du Conseil d’État du 23 décembre 2025, n°492830
Violation de données massive : la CNIL a sanctionné lourdement un opérateur télécom
À la suite d’une cyberattaque, ayant compromis les données liées à 24 millions de contrats d’abonnés de deux entités d’un opérateur télécom, la CNIL a prononcé, le 8 janvier 2026, deux sanctions administratives de 15 et 27 millions d’euros.
La CNIL a relevé des mesures de sécurité insuffisantes, ne garantissant ni la confidentialité des données ni un niveau de protection proportionné aux risques. Des faiblesses ont notamment été constatées en matière d’authentification à distance, de détection des connexions frauduleuses, et de stockage des mots de passe.
La CNIL a relevé que la communication adressée aux abonnés à la suite de la violation de données ne précisait pas suffisamment les principales mesures correctrices mises en œuvre et ne permettait pas de fournir une information complète sur les risques encourus et les mesures de protection recommandées.
Enfin, l’une des deux entités en cause a été sanctionnée pour absence de tri des données des anciens abonnés, entraînant un traitement injustifié et une durée de conservation excessive. La CNIL l’a enjointe de supprimer les données obsolètes dans un délai de six mois.
Ces sanctions s’accompagnent d’injonctions de mise en conformité sous astreinte financière. Les entités disposent de trois mois pour déployer des mesures techniques et organisationnelles garantissant un niveau de sécurité adapté aux risques.
Lire les délibérations de la CNIL du 8 janvier 2026 n°SAN-2026-001 et SAN-2026-002
