FÉRAL partage régulièrement sur sa page Linkedin des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Tous les quinze jours, retrouvez un récap’ des informations qu’il ne fallait pas manquer.
La notation des offres d’assurance par un comparateur en ligne ne constitue pas une publicité comparative
Par un arrêt du 8 mai 2025, la CJUE a rappelé qu’une publicité comparative suppose l’existence d’un lien de concurrence entre l’auteur de la comparaison et l’entreprise comparée.
En l’espèce, la Cour a constaté que les services de comparaison d’assurances ne sont ni substituables ni concurrents aux services d’assurance, écartant ainsi toute qualification de publicité comparative.
Les comparateurs en ligne demeurent soumis à des obligations accrues de transparence prévues par le Code de la consommation.
Lire l’arrêt de la CJUE du 8 mai 2025, affaire C‑697/23
La CNIL inflige une amende de 900 000 € pour manquements graves au RGPD en matière de prospection commerciale
La société utilisait sa base de données, alimentée par des fournisseurs de données tiers, pour réaliser des prestations de prospection commerciale par voie électronique pour le compte d’annonceurs.
Absence de consentement valable : les données provenaient de formulaires de participation à des jeux-concours « d’apparence trompeuse », ne permettant pas de recueillir un consentement libre, éclairé et univoque.
Manque de vérification des modalités de collecte du consentement : la société aurait dû vérifier concrètement les modalités de recueil du consentement par ses fournisseurs de données et ne pouvait se contenter de garanties contractuelles formulées en des termes généraux.
Défaut d’information : la société ne pouvait invoquer l’intérêt légitime pour transmettre les données à des partenaires à des fins de prospection postale ou téléphonique, faute d’avoir informé les personnes concernées de cette finalité.
En plus de l’amende, la CNIL a prononcé une injonction de mise en conformité assortie d’une astreinte de 10.000 €/jour en l’absence d’exécution à l’issue d’un délai de 9 mois.
Lire la délibération de la CNIL, n°SAN-2025-001 du 15 mai 2025
RGPD : la Commission européenne propose un allègement des obligations pour les entreprises de taille intermédiaire (ETI)
Le 21 mai 2025, la Commission européenne a présenté le paquet Omnibus IV (initiative législative regroupant plusieurs modifications de textes existants), qui vise notamment à étendre l’exemption de tenue du registre des activités de traitement des données personnelles prévue à l’article 30 du RGPD.
Ce qui changerait si la proposition était adoptée :
- Extension de l’exemption : La dispense actuelle, réservée aux entreprises de moins de 250 employés, serait étendue aux entreprises de moins de 750 employés dont le chiffre d’affaires annuel net ne dépasse pas 150 millions d’euros ;
- Maintien de l’obligation en cas de traitement à “haut risque” : La tenue d’un registre resterait obligatoire en cas de traitements susceptibles d’entrainer un risque élevé pour les droits et libertés des personnes concernées (ex. : données sensibles, surveillance systématique, etc.).
Ces mesures doivent désormais être examinées par le Conseil et le Parlement européens avant leur adoption.
Actuellement, les entreprises qui ne dépassent pas les seuils fixés par le RGPD restent tenues de tenir un registre en cas de traitement non occasionnel, à haut risque ou portant sur des données sensibles.
En pratique, l’impact de la proposition pourrait rester limité. Le registre des activités de traitement demeure un outil central de la conformité RGPD. Dans un souci d’accountability, de nombreuses entreprises au profil intermédiaire tiennent déjà un registre, même lorsqu’elles n’y sont pas strictement tenues. Cette formalisation reste souvent indispensable pour documenter les traitements, répondre aux demandes des autorités et démontrer la compliance RGPD.
Lire la proposition de règlement de la Commission européenne du 21 mai 2025
Contrat informatique : la livraison d’un site Internet non conforme au RGPD peut entraîner la résolution du contrat
Par un arrêt du 13 mai 2025, la Cour d’appel de Bordeaux a prononcé la résolution d’un contrat de licence d’exploitation de site Internet pour inexécution, en raison de la livraison d’un site non conforme à la règlementation relative à la protection des données personnelles.
En l’espèce, plusieurs manquements avaient été constatés : l’installation de cookies et le recours à un module de protection type reCAPTCHA sans recueil préalable du consentement, ainsi que l’absence de bandeau d’information relatif aux cookies.
La Cour a également souligné les risques encourus par le client, responsable de traitement, du fait de la mise en ligne d’un site non conforme au RGPD, notamment en raison de l’absence de recueil du consentement des personnes concernées :
Jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende pour traitement de données à caractère personnel sans respecter les formalités préalables à leur mise en œuvre (art. 226-16 du Code pénal) ;
Amendes administratives pouvant atteindre 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial (art. 83 du RGPD).
Cour d’appel de Bordeaux, 13 mai 2025, n° 23/02044 (non publié)
E-réputation : Condamnation de Google à supprimer une fiche Google My Business pour traitement illicite de données au regard du RGPD
Par un arrêt du 22 mai 2025, la Cour d’appel de Chambéry a confirmé que le traitement de données réalisé par Google dans le cadre de l’élaboration des fiches Google My Business était illicite.
La Cour a jugé que Google ne pouvait se prévaloir d’un intérêt légitime pour fonder son traitement en raison de :
- L’absence d’information préalable de la personne concernée de la création de sa fiche et de ses droits au titre du RGPD ;
- La finalité commerciale dissimulée poursuivie par Google : la possibilité de répondre aux avis était subordonnée à l’inscription du professionnel aux services de Google, ce qui impliquait la communication de nouvelles données personnelles et exposait à des sollicitations commerciales.
Les arguments tirés de la liberté d’expression et du droit à l’information ont également été écartés par la Cour, laquelle a estimé qu’ils ne sauraient légitimer un traitement non transparent reposant sur des avis dont la fiabilité n’est pas garantie, créant ainsi un déséquilibre au détriment de la personne concernée.
Lire l’arrêt de la Cour d’appel de Chambéry du 22 mai 2025, n°22/01814
Lire notre précédente analyse du jugement du Tribunal judiciaire de Chambéry du 15 septembre 2022
Japon : vers un durcissement du régime de protection des données personnelles ?
Le 5 mars 2025, la Commission de protection des informations à caractère personnel japonaise (PPC) a publié une liste de sujets susceptibles d’être examinés dans le cadre de la révision triennale de la loi sur la protection des informations à caractère personnel (APPI).
Trois axes clés se dégagent :
- Personnes concernées : Allègement des exigences de consentement pour certaines utilisations secondaires par des tiers, et assouplissement des obligations de notification en cas de violation de données à faible risque.
- Obligations et définitions élargies : Renforcement des obligations des sous-traitants, extension des obligations aux traitements de données aujourd’hui considérées comme non-personnelles (ex. informations contenant un cookieID), et encadrement spécifique des courtiers de données.
- Sanctions renforcées : Introduction d’amendes administratives et création d’une nouvelle infraction pénale en cas d’accès frauduleux à des données.
Le calendrier législatif reste à confirmer, mais cette réforme pourrait rapprocher le cadre japonais des standards européens en matière de protection des données.
Lire la liste publiée par la Commission japonaise de protection des informations à caractère personnel (en japonais)
