FÉRAL partage régulièrement sur sa page LinkedIn des réactions aux actualités juridiques qui ont marqué nos domaines d’activités. Retrouvez régulièrement un récap’ des informations qu’il ne fallait pas manquer.
Entrepôt de données de santé : la CNIL a sanctionné d’une amende de 5 millions d’euros une société spécialisée dans le conseil et la réalisation d’études pour l’industrie pharmaceutique
Cette société avait obtenu, en application de l’article 66 de la loi Informatique et Libertés, l’autorisation de la CNIL de mettre en œuvre deux entrepôts de données de santé.
À la suite de la diffusion d’un reportage télévisé et de plaintes, la CNIL a procédé à des contrôles et relevé plusieurs manquements :
- Non-respect des obligations de sécurité, d’information des personnes concernées et de garantie de l’exercice de leurs droits, telles que prévues par les délibérations d’autorisation de la CNIL ;
- En sa qualité de responsable de traitement, la société ne pouvait, en pratique, s’exonérer de son obligation d’information des personnes concernées en prévoyant que les pharmaciens avec lesquels elle travaillait seraient chargés de les informer pour son compte.
Dans le sillage des récentes décisions européennes et françaises, la CNIL a aussi rappelé que les données pseudonymisées demeurent des données personnelles dès lors que leur réidentification est possible par des moyens raisonnables. En l’espèce, l’autorité a considéré le risque de réidentification suffisamment élevé pour exclure toute qualification d’anonymisation. Les données en cause restaient ainsi soumises au RGPD.
Lire la délibération n°SAN-2026-008 de la CNIL, publiée le 26 mai 2026
La CNIL a publié des orientations pour aider les acteurs du cloud à qualifier leurs rôles au regard du RGPD
Face à la diversité des services cloud (IaaS, PaaS, SaaS) la répartition des responsabilités peut être complexe pour les acteurs du marché. La CNIL propose ainsi une grille de lecture articulée autour de trois finalités principales, illustrée par des exemples, à adapter à chaque relation entre le fournisseur de services et son client.
- Fourniture du service : le client est, en principe, responsable du traitement dès lors qu’il en détermine les moyens et les finalités. Le fournisseur agit alors sur ses instructions, en qualité de sous-traitant. Une situation de responsabilité conjointe peut aussi être envisagée lorsque les finalités poursuivies bénéficient aux deux parties ;
- Amélioration du service : la CNIL préconise une analyse au cas par cas, fondée sur plusieurs critères : origine de la finalité poursuivie, pouvoir d’instruction, détermination des données personnelles traitées et base de données utilisée ;
- Sécurité du service : pour la sécurité « du » cloud (infrastructure, des serveurs, des réseaux, etc.), le fournisseur est généralement responsable du traitement des données personnelles de ses employés et de ses clients. Pour la sécurité « dans » le cloud (gestion des accès, chiffrement des données, etc.), la responsabilité incombe principalement au client. Ces deux écosystèmes restent néanmoins étroitement liés : une faille chez l’un peut compromettre les mesures de sécurité mise en place par l’autre.
Lire les orientations de la CNIL, publiées le 28 mai 2026
Digital Markets Act : le Tribunal de l’UE a annulé la désignation d’une marketplace comme service de plateforme essentiel (SPE)
Au sens du DMA, une entreprise peut être qualifiée de contrôleur d’accès lorsqu’elle exerce une influence significative sur le marché européen, bénéficie d’une position solide et durable sur ce marché et fournit un SPE constituant un point d’accès majeur permettant aux entreprises d’atteindre les utilisateurs européens.
À ce jour, la Commission européenne a désigné 6 contrôleurs d’accès et une vingtaine de SPE.
Dans son arrêt du 3 juin 2026, le TUE s’est prononcé sur 2 services, qualifiés de SPE, pour lesquels une entreprise exploitant un grand réseau social avait été désignée contrôleur d’accès :
- Le service de messagerie instantanée en ligne, notamment accessible via une application autonome et assortie de fonctionnalités propres, constitue un service distinct du réseau social et peut être qualifié de SPE ;
- En revanche, les juges ont annulé la désignation comme SPE d’un service d’intermédiation en ligne de type marketplace, estimant que la Commission s’était fondée sur un cadre temporel erroné et avait insuffisamment motivé sa décision.
L’entreprise conserve sa qualité de contrôleur d’accès au titre de son service de messagerie instantanée et demeure soumise aux obligations prévues par le DMA, notamment en matière de concurrence, d’interopérabilité et d’accès aux données.
Lire l’arrêt du TUE du 3 juin 2026, affaire T-1078/23
Surveillance du secteur financier : les autorités compétentes ont publié leur rapport sur les incidents majeurs liés aux TIC
En 2025, 3 383 incidents ont été signalés aux autorités, principalement dans les secteurs du crédit et des paiements, conformément aux obligations prévues par le règlement DORA.
Le rapport met en évidence plusieurs constats :
- La dimension transfrontalière des incidents : près d’un tiers des incidents ont affecté un ou plusieurs États membres et 8 % ont eu un impact dans plus de 10 pays.
- Les origines variées des incidents : la moitié d’entre eux est lié à des dysfonctionnements des systèmes d’information, contre 12 % résultent d’erreurs humaines.
- La dépendance accrue aux services externalisés : plus d’un tiers des incidents trouve son origine chez un prestataire tiers, illustrant l’importance d’une gestion renforcée des risques liés aux prestataires de services TIC, notamment grâce à des tests de résilience, ainsi qu’à une gouvernance et une supervision adaptées.
- Une part limitée d’incidents de cybersécurité : ces résultats suggèrent une efficacité globale des mécanismes de prévention, de protection et de détection des incidents.
Les autorités soulignent l’intérêt d’un cadre harmonisé pour renforcer la résilience opérationnelle numérique du secteur financier et invitent les acteurs du marché à appliquer pleinement le cadre réglementaire afin de faire face à l’évolution des menaces numériques.
Lire le rapport conjoint 2025 des autorités européennes de surveillance du 3 juin 2026
