Ce qu’il ne fallait pas manquer (du 18 juin 2026 au 9 juillet 2026)  

FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Retrouvez régulièrement un récap’ des informations qu’il ne fallait pas manquer. 

Saisie à titre préjudiciel par le Conseil d’État, la Cour européenne a apporté des précisions sur les conditions dans lesquelles un prestataire de services de la société d’information pouvait bénéficier du régime d’exonération de responsabilité applicable aux services d’hébergement.

La Cour a rappelé qu’un prestataire ne pouvait bénéficier de ce régime que s’il demeurait neutre à l’égard du contenu stocké, c’est-à-dire s’il n’en avait ni la connaissance ni le contrôle, ces deux conditions étant alternatives et autonomes.

Selon la Cour, un opérateur qui déterminait notamment, au moyen d’un algorithme, les conditions de diffusion, les modalités de présentation ou l’ordre de priorité des informations exerçait un contrôle sur celles-ci. Il ne pouvait donc pas bénéficier du régime d’exonération réservé aux prestataires d’hébergement.

La Cour a également rappelé que le bénéfice de ce régime d’exonération n’empêchait pas les autorités nationales d’imposer à ces prestataires certaines restrictions lorsque celles-ci étaient justifiées par des motifs d’ordre public, de sécurité publique ou de sûreté publique.

Par ailleurs, la Cour a précisé que l’interdiction des obligations générales de surveillance ne faisait pas obstacle à des obligations de surveillance applicables à un cas spécifique.

Lire les arrêts de la CJUE du 16 juin 2026, affaires jointes C-188/24 et C-190/24

La CNIL a rappelé que le RGPD constitue un levier de réduction des risques en cas d’incident de sécurité, notamment grâce à deux principes fondamentaux : la minimisation des données collectées et la limitation de leur durée de conservation.

L’automatisation des mises à jour des équipements afin de bénéficier rapidement des correctifs de sécurité publiés par les éditeurs figure parmi les bonnes pratiques recommandées.

La CNIL a également rappelé l’importance de mettre en place une stratégie de sauvegarde robuste, en appliquant la règle du 3-2-1 : trois copies des données, sur deux supports différents, dont une copie déconnectée du réseau.

Enfin, la formation régulière des collaborateurs et des dirigeants est importante contre les cyberattaques, par exemple grâce à des ressources gratuites telles que SensCyber ou le MOOC SecNumAcadémie.

Ces recommandations générales doivent toutefois être adaptées aux activités, aux traitements de données et à l’exposition aux risques de chaque organisation. Nos équipes peuvent vous accompagner dans l’évaluation de ces risques et le renforcement de votre conformité.

Lire les recommandations de la CNIL mises à jour le 19 juin 2026

L’article 82 du RGPD prévoit que toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement peut obtenir réparation de son préjudice.

Dans le prolongement de la jurisprudence de la CJUE, les juges ont rappelé que cette disposition n’a pas de fonction punitive. En ce sens, la seule constatation d’une violation du RGPD ne suffit pas à conférer un droit à réparation, encore faut-il démontrer l’existence d’un dommage matériel ou moral concrètement subi.

Dans un litige prud’homal, la Cour a jugé que si certaines pièces produites par l’employeur avaient été obtenues de manière illicite au regard du RGPD, elles demeuraient recevables dès lors que leur obtention et leur production étaient indispensables et proportionnées à l’exercice du droit à la preuve. Faute pour le salarié d’établir l’existence d’un préjudice matériel ou moral résultant de cette violation du RGPD, sa demande de dommages et intérêts a été rejetée.

Lire l’arrêt de la Cour de cassation du 24 juin 2026, n° 24-22.792

Le Data Act prévoit qu’en situation de multicloud, les fournisseurs peuvent facturer des frais de transfert de données, mais uniquement pour couvrir les coûts de sortie qu’ils supportent. L’une des deux lignes directrices de l’Arcep identifie les différentes catégories de coûts pouvant être prises en compte à ce titre.

Sur la base des obligations des fournisseurs prévues par le Data Act visant à faciliter la migration vers un autre prestataire, les secondes lignes directrices précisent les prestations concernées et les coûts susceptibles d’y être associés :

  • l’assistance raisonnable au client (support technique, export des données, réalisation de tests, etc.), y compris les coûts liés à la mobilisation d’experts techniques ;
  • la fourniture des outils et ressources nécessaires à la migration (par exemple, le stockage temporaire des données lorsque des contraintes techniques l’imposent), y compris les coûts de développement, d’adaptation ou d’acquisition de ces outils ;
  • la mise à disposition des outils et ressources nécessaires pour garantir un niveau élevé de sécurité tout au long de la migration.

Ces lignes directrices rappellent un principe essentiel : seuls les coûts directement imputables au changement de fournisseur peuvent être facturés au client, dans des conditions transparentes.

À compter du 12 janvier 2027, les frais en cas de changement de fournisseur ne pourront plus être facturés. Seules les prestations supplémentaires expressément demandées par le client pourront continuer à être fournies et facturées, sous réserve de son accord préalable sur leur prix.

Lire le rapport conjoint 2025 des autorités européennes de surveillance du 3 juin 2026

Ne manquez pas nos prochaines publications

Votre adresse email est traitée par FÉRAL afin de vous transmettre les publications et actualités du Cabinet. Vous pouvez vous désabonner à tout moment. Pour en savoir plus sur la manière dont sont traitées vos données et sur l’exercice de vos droits, veuillez consulter notre politique de protection des données personnelles.