La protection des données est un critère de choix déterminant pour les français

La CNIL a publié en octobre 2025 les résultats d’un sondage en trois volets portant sur la perception des Français vis-à-vis de l’utilisation de leurs données personnelles et du consentement à la publicité en ligne. L’enquête menée par l’institut de sondage Harris interactive en décembre 2024 s’est intéressée :

• à la disposition des Français à payer pour accéder à des services sans publicité ciblée ;
• à leur inclination à utiliser leurs données personnelles comme monnaie d’échange ;
• et à l’utilisation frauduleuse ou non contrôlée de leurs données personnelles et aux préjudices matériels ou immatériels qui en ont découlé.

Les résultats de ce sondage mettent en évidence l’intérêt marqué des Français pour la protection de leurs données personnelles.

Les répondants valorisent fortement le fait que leurs données personnelles soient protégées :

• 64 % indiquent faire attention au suivi de leurs données de navigation, en modifiant par exemple les paramètres de leur navigateur ou en utilisant la navigation privée ; cette proportion atteint 71 % chez les 15-34 ans.
• 51 % considèrent la protection des données comme l’un des trois critères les plus importants dans le choix d’un service numérique après la qualité du service et le prix (21 % la placent en premier critère de choix).

Selon la CNIL, ce sondage confirme la pertinence de ces orientations qui visent à offrir davantage d’options pour mettre les usagers en mesure de mieux protéger leur vie privée, et assurer le respect de leurs préférences.

Ces enseignements sont importants pour les OSBL, la protection des données personnelles étant l’un des piliers sur lesquels repose la confiance de leurs parties prenantes.

Pour en savoir plus : Sondage de la CNIL sur les modèles d’affaires

Décisions d’adéquation : est-il encore possible de transférer des données personnelles vers les États-Unis et le Royaume-Uni ?

Une décision d’adéquation permet de transférer des données personnelles depuis un organisme européen (une association ou une fondation par exemple) vers des organismes de pays tiers ou des organisations internationales, sans exigences supplémentaires (clauses contractuelles types, etc.). La liste des décisions d’adéquation adoptées par la Commission européenne est disponible sur son site web.

États-Unis : le data protection framework (DPF) est toujours en vigueur

En septembre dernier, le tribunal de l’UE (TJUE) est venu sceller le sort de l’affaire « Latombe ».

Le député français Philippe Latombe avait déposé le 6 septembre 2023, en tant que citoyen européen, un recours devant le TJUE pour contester la validité du DPF, en vigueur depuis juillet 2023, et obtenir son annulation (voir notre article sur le fonctionnement du DPF).

Selon le député, cette décision devait être annulée pour les raisons suivantes :

• Sur le fond, le texte violerait à la fois les principes de la Charte des droits fondamentaux de l’Union (insuffisance de garanties du respect de la vie privée et familiale) et le RGPD (absence de garanties d’un droit à un recours effectif et d’un accès à un tribunal impartial, insuffisance de garanties relatives à la sécurité des données…).
• Sur la forme, la décision ne respecterait pas le règlement n° 1 portant fixation du régime linguistique de la Communauté Économique Européenne, celle-ci ayant été publiée uniquement en anglais et non dans toutes les langues officielles de l’UE.

Le TJUE a rejeté le recours du député Latombe, confirmant ainsi la validité du DPF. Pour l’heure, les Etats-Unis sont toujours considérés comme offrant un niveau de protection des données équivalent à celui du RGPD, sous réserve de garanties strictes (indépendance de la Data Protection Review Court, contrôle des collectes, etc.).

A ce jour, il est donc possible de transférer des données vers les Etats-Unis sans mettre en place des garanties supplémentaires. Cependant, il convient de rappeler que si le DPF subit le même sort que ses prédécesseurs (le Safe Harbor et le Privacy Shield), il pourrait faire l’objet d’une annulation, avec effet rétroactif, dans les mois à venir.

Par ailleurs, comme le rappelle le TJUE, si le cadre juridique en vigueur aux États-Unis au moment de l’adoption de la décision attaquée évolue, la Commission européenne peut décider de suspendre, modifier ou abroger la décision attaquée ou d’en restreindre le champ d’application. Il revient à la Commission de suivre de manière permanente l’application du cadre juridique des Etats-Unis pour s’assurer que celui-ci est effectivement équivalent aux protections offertes par le RGPD.

Pour en savoir plus : Tribunal de l’UE – Décision d’adéquation UE-US- 3 sept. 2025, aff. T-553/23.

Royaume-Uni : la décision d’adéquation prenant fin le 27 décembre 2025 sera-t-elle renouvelée ?

La Commission européenne a proposé de prolonger jusqu’en 2031 la décision d’adéquation pour le Royaume-Uni. La Commission estime que le Royaume-Uni continue d’assurer un niveau adéquat de protection.

Le Comité européen de la protection des données (CEPD) a rendu un avis sur le projet de décision d’adéquation ainsi présentée par la Commission.

Après avoir souligné le fait que le cadre de protection des données du Royaume-Uni reste relativement proche de celui de l’Union européenne, le CEPD met en exergue les sujets qui, selon lui, nécessitent d’être approfondis et/ou de faire l’objet d’une surveillance par la Commission :

• l’application des nouvelles règles sur la prise de décision automatisée et sur l’encadrement des transferts
• l’impact du UK-US Cloud Act sur le niveau de protection des données des ressortissants de l’UE.

Il revient maintenant à un comité de représentants des États membres de l’UE d’examiner les projets de décision d’adéquation présenter par la Commission.

Pour en savoir plus : article de la CNIL  et Avis du CEPD

Contrôles de la CNIL : quels sont les principaux manquements sanctionnés par la cnil ?

Les principales sanctions récentes de la CNIL portent sur des manquements liés à la gestion des cookies.

Dans les affaires vanityfair.fr (750 000 euros d’amende) et AMERICAN EXPRESS (1,5 million d’euros d’amende), la CNIL a notamment sanctionné les manquements suivants :

• Absence de recueil du consentement des utilisateurs avant dépôt des cookies : dans les deux affaires, la CNIL a constaté que des traceurs étaient déposés sur le terminal des utilisateurs dès leur arrivée sur le site, avant même qu’ils n’interagissent avec la fenêtre leur permettant d’exprimer un choix.
• Des mécanismes de refus et de retrait du consentement défaillants : dans les deux affaires, des traceurs étaient déposés sur le terminal de l’utilisateur malgré son refus exprimé. Des traceurs continuaient par ailleurs à être lus malgré le retrait du consentement de la personne concernée.
• Une absence de clarté de l’information mise à disposition des utilisateurs : dans l’affaire Vanifyfair.fr, des cookies « strictement nécessaires » (exemptés de l’obligation de recueillir le consentement) étaient déposés sur les terminaux des utilisateurs sans qu’aucune information utile sur leurs finalités n’ait été mise à leur disposition.

A l’occasion de la publication de ces décisions, la CNIL rappelle que « les règles en matière de traceurs sont bien connues, en raison de leur ancienneté et de leur large diffusion ».

Les OSBL doivent donc être particulièrement vigilants quant au respect de la réglementation liée à la gestion des cookies.

La CNIL a par ailleurs prononcé 16 sanctions depuis mai 2025 dans le cadre de sa procédure simplifiée, pour un montant cumulé d’amendes de 108 000 euros. Les principaux manquements mis en lumière par la CNIL à l’occasion de son bilan, sont les suivants :

• pratiques de prospection commerciale réalisées sans le consentement des personnes concernées ;
• manquements à la coopération lors de demandes d’exercice des droits prévus par le RGPD (droit d’accès, de rectification, d’opposition…) ;
• usage de dispositifs vidéo ;
• détournement de finalité ;
• défaut de coopération avec la CNIL (10 sanctions).

Pour en savoir plus : bilan des sanctions simplifiées de la CNIL

Quels sont les impacts du projet digital omnibus sur la protection des données ?

Le projet « Digital Omnibus » ou « omnibus numérique« , s’inscrit dans l’objectif de la Commission européenne de déployer un effort de simplification sans précédent afin de rendre l’économie de l’UE plus compétitive et plus prospère en permettant aux entreprises d’exercer leurs activités plus facilement (objectif de réduction d’au moins 25 % des charges administratives et d’au moins 35 % celles pesant sur les PME d’ici à la fin de 2029).

Le 19 novembre 2025, la Commission a présenté, ses recommandations pour simplifier les principaux textes qui encadrent les activités numériques (RGPD, AI Act, directive ePrivacy ou encore la règlementation sur la cybersécurité).

Parmi ces recommandations, sont notamment susceptibles de concerner les OSBL :

• Le report de certaines obligations prévues par l’AI Act (règlement européen sur l’intelligence artificielle). Les systèmes d’intelligence artificielle à haut risque ne seront soumis à leurs nouvelles obligations qu’à partir de décembre 2027, soit seize mois plus tard qu’initialement prévu ;
• Des modifications ciblées du RGPD qui pourraient constituer un assouplissement majeur du cadre européen actuel, notamment :

• • des clarifications sur la définition de la donnée personnelle(une information ne serait personnelle que si le responsable du traitement dispose des moyens raisonnablement susceptibles d’identifier la personne) ;
  • l’exclusion des données pseudonymisées du champ d’application du RGPD, afin d’en faciliter l’utilisation pour l’entraînement des modèles d’IA
  • la simplification de certaines obligations pour les organisations (réalisation des analyses d’impact sur la protection des données, quand et comment notifier les violations de données aux autorités de contrôle, etc.)

La Commission précise que ces mesures seront assorties de garanties solides pour prendre en considération les intérêts des utilisateurs et garantir que les données à caractère personnel des citoyens restent protégées au plus haut niveau.

• La modernisation et la simplification du consentement aux cookies. Afin d’améliorer l’expérience des utilisateurs en ligne et leur offrir un véritable choix, les modifications réduiront le nombre d’apparitions des bandeaux relatifs aux cookies, permettront aux utilisateurs d’indiquer leur consentement en un clic et de sauvegarder leurs préférences en matière de cookies (paramétrage centralisé des préférences). Les recommandations prévoient en outre que le cadre du RGPD s’appliquera également aux règles en matière de cookies : toute violation des droits des utilisateurs pourra désormais entraîner une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise.
• La création d’un guichet unique pour signaler les incidents de cybersécurité.

Les propositions législatives du Digital Omnibus sont désormais soumises au Parlement européen pour adoption.

Pour en savoir plus : Commission européenne – Digital Omnibus

France générosités suivra avec attention les prochaines actualités et analysera, en lien avec le Groupe de travail RGPD, leur impact sur le secteur de la générosité.