Sanctions : 16 nouvelles décisions suivant la procédure simplifiée.

Le 13 octobre 2025, la Commission nationale informatique et libertés (CNIL) a annoncé avoir adopté 16 décisions de sanction dans le cadre de la procédure simplifiée, pour un montant total de 108 000 euros. 

Les organismes sanctionnés relèvent de domaines très différents : sociétés privées, collectivités, établissements publics ou structures associatives.

Les manquements relevés concernent :

• La vidéosurveillance : plusieurs responsables de traitement ont été sanctionnés pour avoir installé des caméras filmant en continu des zones sensibles — un local syndical, une salle de repos ou le réfectoire d’une école —, en méconnaissance du principe de minimisation prévu à l’article 5 § 1 c) du RGPD et de la vie privée des personnes filmées.

• La prospection commerciale : une société a été sanctionnée pour avoir réutilisé, à des fins marketing, les données de participants à un jeu-concours sans recueillir un consentement libre et spécifique, en violation des articles 6 et 7 du RGPD.

• Le défaut de coopération avec la CNIL : dix des seize décisions sanctionnent l’absence de réponse à une demande d’information ou à une mise en demeure, constituant un manquement à l’article 31 du RGPD et à l’article 18 de la loi Informatique et Libertés.

Ces décisions témoignent de la montée en puissance croissante de la procédure simplifiée. Cette dernière permet à la CNIL de traiter plus rapidement des dossiers ne soulevant pas de difficultés juridiques particulières, lorsque les faits sont établis et que les sanctions envisagées sont limitées à un avertissement ou à une amende inférieure à 20 000 €.

Transferts de données vers le Royaume-Uni : « keep calm and carry on » ? 

Le 16 octobre 2025, le Comité européen de la protection des données (CEPD) a adopté deux avis concernant les projets de décisions d’adéquation de la Commission européenne pour le Royaume-Uni.

Les décisions d’adéquation, fondées sur l’article 45 du RGPD et l’article 36 de la directive « Police-Justice », établissent qu’un pays tiers assure un niveau de protection des données adéquat. Elles permettent ainsi le transfert de données personnelles depuis les organismes européens vers des organismes du pays tiers concerné, sans exigences supplémentaires.

Depuis qu’il a quitté l’union en 2021, le Royaume-Uni bénéficie d’une telle décision d’adéquation, dont le renouvellement doit intervenir prochainement. 

La commission européenne a publié ses projets de décisions, qui sont favorables à ce renouvellement. Le CEPD (pour Comité Européen sur la Protection des Données), fournit également un avis consultatif sur la question.

Dans lesdits avis, le CEPD souligne que le cadre de protection des données du Royaume-Uni demeure relativement proche de celui de l’Union européenne. Toutefois, il identifie plusieurs sujets nécessitant une attention particulière, tels que l’application des nouvelles règles sur la prise de décision automatisée, la restructuration de l’autorité de contrôle britannique, et l’impact que le UK-US Cloud Act Agreement pourrait avoir sur un éventuel accès des agences gouvernementales américaines aux données des européens.

Les projets de décisions d’adéquation doivent désormais faire l’objet d’un examen par un comité de représentants des États membres.

Le département Contrats informatiques, données & conformité peut vous accompagne dans la gestion de votre conformité en matière de données personnelles.

Pour toute question, n’hésitez pas à nous contacter.