Bilan 2025 : sanctions, IA et nouvelles priorités pour les DPO
ActualitéArticle RGPD
2025, encore une belle année riche en événements en matière de protection des données personnelles. Non pas par une refonte du RGPD, mais par une accumulation de signaux forts : sanctions ciblées, nouvelles réglementations applicables, explosion des usages de l’IA et la multiplication des incidents liés aux prestataires.
Pour beaucoup d’organisations, cette année a mis en lumière une réalité inconfortable : être conforme ne suffit plus, il faut pouvoir le démontrer, en continu.
Retour sur les événements marquants de 2025, les principaux points de vigilance qu’ils ont révélés, et comment les DPO peuvent concrètement s’y préparer.
1. Des sanctions toujours plus pédagogiques… et plus ciblées
En 2025, la CNIL a confirmé une tendance de fond : les sanctions ne visent plus uniquement des manquements “spectaculaires”, mais des défaillances organisationnelles basiques.
Une majorité des décisions publiées concernent :
la gestion des droits des personnes,
la durée de conservation excessive,
des mesures de sécurité jugées insuffisantes.
Des montants parfois modérés, mais des décisions très détaillées, explicitement pédagogiques.
Exemple concret : une organisation a fait l’objet d’une sanction non en raison de l’absence de procédures relatives à la protection des données, mais en raison de leur défaut de mise en œuvre effective, celles-ci n’étant ni suffisamment diffusées ni réellement appliquées par les équipes concernées, et ce malgré l’existence d’alertes internes répétées.
Cette approche illustre l’exigence, rappelée par la CNIL, d’une conformité démontrable et opérationnelle au sens de l’article 5.2 du RGPD (principe d’accountability), telle qu’elle ressort notamment des décisions relatives aux cookies déposés sans consentement sur le site VanityFair.fr (https://actecil.eu/cookies-cnil-vanityfair/) et à la sanction prononcée à l’encontre d’American Express Carte France (1,5 M€) (https://actecil.eu/cnil-nexpublica-sanction/).
Ces décisions rappellent ainsi que la conformité RGPD ne peut se limiter à une approche documentaire, mais impose la mise en place de mesures effectives, contrôlées et régulièrement évaluées, plaçant la gouvernance des données et le pilotage opérationnel au cœur des attentes des autorités de contrôle.
2. Droits des personnes : un sujet toujours perçu comme “secondaire”…
Malgré leur ancienneté, les droits des personnes restent l’un des premiers motifs de non-conformité constatés.
Délais non respectés.
Réponses incomplètes ou incohérentes.
Manque de coordination entre services (RH, IT, juridique, marketing, communication).
Exemple concret : Une demande de droit d’accès traitée par le service client sans consultation du DPO, aboutissant à une réponse partielle… et à une plainte.
Les points d’attention
Le rôle clé de la formation des équipes opérationnelles.
Déclenchement d’un contrôle CNIL
L’impact réputationnel de ces manquements.
Comment s’y préparer
cartographier les circuits internes de traitement des demandes ;
la gestion des droits des personnes ne relève pas d’un traitement ponctuel ou isolé, mais d’un processus transverse, qui doit être clairement structuré, régulièrement testé et compris par l’ensemble des équipes concernées afin de limiter les risques juridiques, opérationnels et réputationnels.
3. Sous-traitants et partenaires : le maillon faible persistant
Les violations de données impliquant des prestataires restent, en 2025, l’une des principales causes d’incidents déclarés.
Des contrats RGPD conformes sur le papier, mais :
jamais réévalués,
jamais audités,
parfois obsolètes face aux nouveaux usages (cloud, IA, externalisation).
Exemple concret : Un incident de sécurité chez un prestataire IT entraînant une violation de données, alors même que le contrat RGPD n’avait pas été mis à jour depuis plus de 5 ans.
La nécessité d’un pilotage dans la durée des sous-traitants.
Les risques liés aux transferts de données indirects (support, maintenance, hébergement).
Comment s’y préparer
identifier les prestataires critiques (et pas tous) ;
planifier des revues annuelles ciblées ;
clarifier les responsabilités en cas d’incident avant qu’il ne survienne.
Cet exemple rappelle que la conformité des relations avec les sous-traitants ne se limite pas à la signature initiale d’un contrat conforme à l’article 28 du RGPD, mais implique un pilotage effectif et continu de ces relations.
Il souligne également l’importance des exigences de sécurité prévues à l’article 32 du RGPD, qui imposent au responsable de traitement de s’assurer, dans la durée, de l’adéquation des mesures techniques et organisationnelles mises en œuvre par ses prestataires, notamment en cas de transferts de données ou d’incidents de sécurité.
4. IA et données personnelles : la fin de l’approximation
L’entrée en application progressive de l’AI Act a accéléré la prise de conscience : l’IA n’est plus un sujet “tech” ou “innovation”, mais un sujet de conformité transverse.
Selon plusieurs baromètres sectoriels, plus d’une entreprise sur deux utilise déjà des outils d’IA générative impliquant des données professionnelles.
Dans de nombreux cas :
aucune cartographie formelle,
aucune analyse d’impact spécifique,
une méconnaissance des données réellement injectées.
Exemple concret : Un service RH a utilisé un outil d’IA pour trier des candidatures, sans savoir que les données étaient conservées hors UE et réutilisées pour entraîner le modèle.
Comment s’y préparer
lancer une cartographie des usages IA réels, y compris “shadow IA” ;
intégrer l’IA dans le registre des traitements et les AIPD ;
former les équipes métiers sur les risques concrets, pas uniquement juridiques.
Les usages de l’IA impliquant des données personnelles relèvent désormais à la fois du RGPD, pour la protection des données et des droits des personnes, et de l’AI Act, pour la gestion des risques et la gouvernance des systèmes d’IA. Pour les DPO, l’enjeu est d’anticiper cette double exigence dès la conception des projets afin d’éviter des non-conformités et de sécuriser les usages dans la durée.
5. 2025 : une année charnière pour la fonction DPO
Les événements de 2025 confirment une évolution profonde : le DPO devient un acteur central de la gouvernance des données, au croisement du juridique, de l’IT, des métiers et de la stratégie.
Anticipation réglementaire, priorisation des risques, accompagnement du changement : le rôle se renforce… mais nécessite plus que jamais du soutien, des outils et du temps.
Health Data Hub : 56 % des Français souhaitent être mieux informés sur l’utilisation de leurs données de santé
La gestion des données de santé, un sujet important dans notre société numérique, reste largement méconnu par le grand public. Selon la deuxième édition du baromètre de connaissance des données de santé, publiée le 6 novembre 2024, 56 % des Français souhaitent bénéficier d’une meilleure information sur l’utilisation de leurs données. Ce chiffre illustre à la fois une prise de conscience et une forte demande de transparence.
Trois de nos consultants ont participé les 8 et 9 février derniers à la 18ème Université des DPO organisée par l'AFCDP. Cet événement incontournable a rassemblé des professionnels de la conformité et de la protection des données personnelles pour deux journées de conférences et d'échanges.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
