IA, consentement et pixels espion : la CNIL veut renforcer son « droit souple »

Souplesse avec nos données

L'autorité de protection des données revendique promouvoir « un juste équilibre entre la voie répressive et l’accompagnement ». En ce sens, elle indique qu'elle publiera en 2025 des documents destinés à aider les professionnels dans leur mise en conformité au RGPD concernant notamment l'IA, la santé, le consentement multi terminaux et les pixels espion.

Martin Clavey

Le 31 mars à 10h05

5 min

Droit

La CNIL l'a déjà dit, elle veut une « innovation responsable » et n'envisage pas son rôle comme une autorité de répression : elle le martèle depuis longtemps, elle veut promouvoir « un juste équilibre entre la voie répressive et l’accompagnement ».

IA vs RGPD : la CNIL veut une « innovation responsable »

Pour cela, elle crée régulièrement des documents dits « de droit souple » : des référentiels, des recommandations, des lignes directrices, des guides pratiques, etc. Pour 2025, l'autorité annonce concentrer ces contenus « de droit souple » sur quelques thématiques connues à l'avance « pour que les professionnels concernés puissent se préparer aux concertations ou aux consultations à venir », explique-t-elle.

Encore et toujours l'IA

D'abord, et ça n'étonnera que les personnes qui ne se sont pas connectées à Internet depuis trois ans, elle veut poursuivre ses travaux « de clarification afin d’aider les professionnels à concilier innovation et respect des droits des personnes pour un développement innovant et responsable de leurs systèmes d’IA ». Bref, l'autorité va proposer des fiches sur la bonne façon de citer l'intérêt légitime dans les CGU des modèles d'IA pour être en règle avec le RGPD. Elle proposera aussi des fiches sur leur sécurisation et leur annotation.

Elle va aussi publier des conseils concernant le déploiement des IA dans le secteur de l'éducation, du travail et des collectivités locales.

Sous-traitants, assouplir l'utilisation des données de santé et clarification sur l'octroi de crédit

Pour aider les entreprises à faire respecter le RGPD par leurs sous-traitants, l'autorité construit plusieurs référentiels. La CNIL espère que les entreprises s'en saisiront et qu'elle n'aura donc pas à enquêter puis sanctionner ensuite. C'est pourtant un sujet déjà ancien et l'autorité a déjà dû infliger des amendes à des entreprises comme Darty, Infogreffe ou encore Pap.fr pour négligence auprès de leurs sous-traitants. Elle a mis en place une consultation publique sur le sujet qu'elle a clôturée fin février et va maintenant construire la version définitive de son référentiel.

La CNIL veut aussi mettre à jour ses référentiels sur les traitements de données de santé. Alors qu'elle exige actuellement une demande d'autorisation préalable auprès d'elle, l'autorité affirme vouloir modifier son parcours concernant le traitement de ces données en s'appuyant sur la base d’une déclaration de conformité. Elle explique vouloir s'adapter aux demandes des acteurs et aux pratiques professionnelles dans le secteur de la recherche en santé exprimées lors de la consultation publique qu'elle a menée en 2024.

L'autorité planifie aussi de publier un référentiel sur l'octroi de crédit par les banques, alors que celles-ci s'appuient de plus en plus sur des algorithmes utilisant les données de leurs (futurs) clients pour prendre leurs décisions.

Enfin deux référentiels sur la conservation des données sont au planning de cette année pour les activités commerciales et marketing et pour celles des ressources humaines.

Le consentement se fait-il pour tous les terminaux utilisés ?

L'autorité affiche sa volonté de renforcer ses textes de recommandation sur le consentement multi terminaux. En effet, la multiplication des appareils pour chaque utilisateur fait qu'on peut très régulièrement être connecté avec un même compte sur différents appareils. Mais, est-ce qu'en acceptant des conditions sur l'un d'eux (comme le dépôt de cookies), on les accepte sur tous ? Est-ce qu'en me logguant sur mon téléphone personnel, je donne le même consentement qu'en le faisant sur mon ordinateur professionnel ? Questions intéressantes auxquelles l'autorité veut s’atteler.

La CNIL veut aussi profiter de l'année 2025 pour publier un projet de recommandation concernant l'utilisation des pixels dans les courriels « dont l'usage est en forte croissance ». « L’objectif est de préciser les cas dans lesquels le consentement est nécessaire et guider les acteurs sur les modalités de son recueil », indique-t-elle.

Protéger les séniors et se pencher sur les dashcams

Elle veut aussi cibler le champ de l'économie des séniors, marché très « porteur » mais qui demande attention car le public peut être plus vulnérable. « La nature des données traitées et le ciblage en fonction de l’âge, notamment, soulèvent d’importants enjeux en matière de protection des données », affirme l'autorité.

Enfin, la CNIL veut se pencher sur les dashcams, les caméras embarquées dans les véhicules mis en place par certains automobilistes pour constituer des preuves en cas d'accident, lutter contre le vol ou diffuser des images spectaculaires sur les réseaux sociaux. Le « club conformité » mis en place par l'autorité et dédié aux acteurs du véhicule connecté et de la mobilité doit proposer des recommandations sur l'utilisation des ces caméras.

Commentaires (10)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

berléon Abonné

Le 31/03/2025 à 17h43

Le travail sur les dashcams sera à suivre car je pensais que le RGPD était clair là-dessus suite à la lecture de cet article :

[ouest-france.fr]

Pour résumer cet article, les caméras captent (et donc traitent) des données à caractère personnelles (comme les plaques d'immatriculation et les visages) donc elles sont soumises au RGPD. Si ce traitement se fait sur la voie publique (arrêt Ryneš) alors on sort du cadre strictement privé et il faut informer et recueillir le consentement des personnes filmées.

SamLeChiseuji Abonné

Le 31/03/2025 à 18h23

Mais la voiture n'est-elle pas considérée comme un lieu privé ? Il me semble avoir lu que les caméras des voitures Tesla qui s'activent dès qu'on s'approche sont conformes au RGPD justement car la voiture est considérée comme un lieu privé.

fred42 Abonné

Le 31/03/2025 à 19h11

L'extérieur de la voiture n'est pas un lieu privé, sauf dans ta propriété.

jeff.110 Abonné

Le 07/04/2025 à 01h06

Imaginez un parking remplis de voiture avec camera sur l'exterieur ... => On se retrouve filmé en permanence, par une multitude de caméra "amateur" ...

fred42 Abonné

Le 07/04/2025 à 10h03

On est bien d'accord.
C'est pour cela que j'ai parlé d'une propriété d'une personne. Je voulais dire pour être plus précis : le terrain entourant une maison privée. Et encore, en théorie, il faudrait avertir les invités qu'ils peuvent être filmés par la voiture tout comme le fait qu'ils pourraient être enregistrés par un système Alexa ou son équivalent chez un concurrent.

Mais dès qu'il s'agit d'un lieu même privé recevant des personnes, il faut informer clairement sur le traitement, le responsable du traitement et ses coordonnées, etc. (voir l'article 13 du RGPD) s'il y a des caméras, même dans une voiture.
Ça devient assez compliqué pour le propriétaire d'un véhicule de le faire. Je pense que les propriétaires de véhicule ne voudront pas mettre un gros autocollant avec leur nom et coordonnées pour respecter le RGPD.
Et si en plus, il s'agit dune Tesla avec des données qui partent aux USA, ça c'est encore pire même si les USA Data Privacy Framework permet pour le moment ce transfert.

Bruno dans le R|Métro

Le 01/04/2025 à 07h53

C’est beaucoup plus compliqué que ce résumé.

Leur usage est légal (il y a assez de sources sur le sujet comme ici ou encore là), mais c’est la diffusion et l’usage des images qui est réglementée.

De plus, je ne pense pas que si le dispositif était totalement illégal avec 20 millions d’Euros d’amende, tous les magasins le proposeraient et le mettraient en avant.

berléon Abonné

Modifié le 01/04/2025 à 17h20

C'est effectivement plus compliqué que le résumé que j'en ai fait mais l'article de ouest france va dans bien plus de détails et renvoie vers des décisions juridiques précises, ce que ne fait pas TF1 et le Progrès.

Le RGPD s'applique dès qu'il y a traitement et données à caractères personnelles. La captation est un traitement et si cette captation filme l'espace public alors il y aura inévitablement des données à caractère personnelle.

L'article de ouest france revient aussi en détail sur pourquoi cette interdiction : il n'y a pas intérêt légitime ET proportionnalité ET nécessité.

La RGPD allemande a même donné des voies vers lesquelles la dashcam pourrait être légale : enregistrements très courts ou déclenchés par un dispositif détecteur de choc par exemple.

Ce dispositif dans sa forme actuelle (filmer l'espace public et stocker des heures de vidéo en continu) est illégal (cf. cette réponse de la CNIL). Est-ce que vous risquez réellement 20 millions d'euro d'amendes, je ne pense pas. D'ailleurs un youtubeur qui diffusait ses vidéos dashcams n'a été condamné qu'à 200 euro d'amende.

J'attends donc de voir quelles seront les recommandations de la CNIL et comment les dashcams seront amenées à évoluer pour répondre au cadre juridique.

Il y aurait sûrement un argument moral contre la captation en continu de l'espace public par tout un chacun, panoptique, Michel Foucault, tout ça, mais là on s'éloigne.

Bruno dans le R|Métro

Le 01/04/2025 à 10h53

Je suis bien plus en accord avec votre réponse qu’avec celle de @fred42.

Pour le youtubeur, ce qui est intéressant c’est qu’il diffusait ses images. Je ne sais pas (réellement) comment sont considérées ces images quand elles sont produite dans un cadre judiciaire (la Cours de Cassassions a rendu un arrêt où (dans un autre contexte attention) elle avait validé une preuve ne répondant pourtant pas à l’article 226-1).

Donc en effet, le cadre juridique d’un outils qu’il sera maintenant difficile d’interdire doit être clarifié.

fred42 Abonné

Le 01/04/2025 à 10h17

Son résumé est ... un résumé mais il met en avant l'essentiel : une dashcam fait un traitement de données personnelles et sa légalité doit être regardée aussi par rapport au RGPD.
L'article est assez long et documenté.

Par contre tes 2 articles sont très légers et ne citent que l'article 226-1 du Code pénal :

2° En fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l'image d'une personne se trouvant dans un lieu privé.

qui ne traite que le cas d'un enregistrement d'images de personnes se trouvant dans un lieu privé.
Et évidement, ce qui est filmé par une dashcam est à l'extérieur du véhicule. C'est donc un lieu public (je laisse de côté quand la personne est chez toi).
L'article 9 du code civil rappelle que :

Chacun a droit au respect de sa vie privée.

L'article de Ouest France fait le rapprochement avec les caméras de surveillance privées qui ne doivent pas filmer l'espace public et il est évident.

Tes sources ne valent rien puisqu'elles citent un article de loi non applicable qui de toute façon ne prouvent pas que l'on peut filmer des personne dans un espace public.

J'aime assez la piste qui dit que les dashcam ne devraient garder que 30 secondes d'enregistrement. Le travail prévu cette année par la CNIL sur le sujet est donc le bienvenu.

Bruno dans le R|Métro

Le 01/04/2025 à 10h46

Je ne suis pas totalement d’accord avec ton analyse et les dispositifs permettent déjà souvent de déclencher ce que tu dis (garder un temps d’enregistrement court sur déclenchement d’événement).

Allons y pour d’autres sources alors : Groupama.
Le même Ouest France qui se contredit lui même : Ouest France en reconnaissant dans l’autre article que leur position précédente est partiellement erronée.

La MAAF lien.

Aujourd’hui des entreprises utilisent ce genre de dispositifs dans des camions.

Là où je veux en venir c’est que c’est sûrement bien plus complexe que l’interprétation qu’il en a été donné dans le sens où les sources accessibles sont contradictoires, et les notions de droit complément opaques vis-à-vis des particuliers.
Et, désolé, mais une source qui est un média important ou son assurance sera toujours considérée comme fiable par un particulier faisant cette recherche, qu’elle soit malheureusement dans le vrai ou dans le faux. Donc légères n’est pas le terme adapté.