Le RGPD évolue vite, et l’actualité du numérique ne cesse de bousculer les enjeux de conformité. Cybersécurité, intelligence artificielle, plateformes internationales, sanctions records… comment rester à jour sans y passer des heures ?

Chaque mois, la Minute RGPD vous livre le condensé des informations essentielles, analysées et contextualisées pour vous aider à faire de la conformité un véritable levier business, pas une contrainte.

Au programme :

1. 7 ans après, Bruxelles revoit le RGPD : à quoi faut-il s’attendre ?
2. Vos données médicales accessibles partout en Europe ? C’est pour bientôt
3. Fonctionnalité Google Ads : et si vous enfreigniez la loi sans le savoir ?
4. Êtes-vous dans le viseur de la CNIL cette année ? Les 4 grandes cibles annoncées 
5. Shein : l’ultra fast-fashion qui traque dans votre vie privée – la CNIL ouvre le dossier
6. Violations de données : ces 4 affaires qui ont agité le mois de mars
7. Double authentification : mot de passe + SMS ? Trop risqué. La CNIL alerte
8. Un client mal conseillé, un sous-traitant condamné : La justice envoie un message clair
9. Votre site est-il RGPD ready ? On vous partage notre méthode d’audit express
10. On se retrouve à SantExpo ?

Bonne lecture !

1. 7 ans après, Bruxelles revoit le RGPD : à quoi faut-il s’attendre ?

Le RGPD va-t-il évoluer ? La question est sur la table à Bruxelles.

Sept ans après son entrée en vigueur, le règlement européen sur la protection des données personnelles fait l’objet d’une revue critique par les institutions européennes. 

Pourquoi cette révision ?

• Adapter le cadre légal aux enjeux actuels : explosion de l’IA, nouvelles pratiques marketing, réutilisation des données de santé… Le contexte technologique a radicalement changé depuis 2018.

• Éliminer les blocages juridiques et techniques qui compliquent son application au quotidien.

• Alléger la charge pour les PME et start-up, qui jugent le RGPD trop complexe. 

Ce qui est envisagé :

• Une meilleure articulation entre RGPD et IA Act, notamment sur les traitements automatisés.La clarification du rôle des sous-traitants et des co-responsables.

• Un renforcement des droits des personnes dans certains secteurs sensibles (santé, éducation…).

• Une possible simplification pour les petites structures, sans réduire les garanties.

Ce que cela signifie pour vous :

• Une mise à jour de vos documents de conformité sera probablement nécessaire.

• Mieux vaut anticiper : les sujets en discussion donnent déjà une tendance à plus de transparence, de documentation et de responsabilisation.

2. Vos données médicales accessibles partout en Europe ? C’est pour bientôt

Depuis le 26 mars 2025, un nouveau règlement européen est entré en vigueur : l’Espace Européen des Données de Santé (EHDS). Il marque un tournant dans la gestion des données de santé à l’échelle européenne.

L’objectif ? Permettre aux citoyens d’accéder plus facilement à leurs données médicales (ordonnances, imagerie, antécédents…) partout en Europe, tout en encadrant strictement leur réutilisation à des fins de recherche ou d’innovation. 

Les 4 changements clés à venir : 

• Des infos toujours disponibles, même à l’étranger : Un pépin en Espagne ou en Allemagne ? Les médecins pourront consulter vos données, avec votre accord. 
  
• Des règles claires pour la réutilisation : Vos données pourront servir à faire avancer la recherche ou l’IA, mais pas n’importe comment :il faudra votre consentement clair,chaque usage devra être justifié,tout passera par une autorité officielle (un guichet unique)

• Un guichet unique par pays : Chaque pays désignera une autorité pour centraliser et superviser les demandes d’accès à des données de santé. En France, cela pourrait impliquer la DSSIS ou le Health Data Hub (à confirmer). 

• Une double supervision : Désormais, les données seront surveillées à la fois par les autorités de santé et par celles qui protègent vos données personnelles (comme la CNIL).

Quand sera-t-il mis en application ?

• Septembre 2025 : Désignation des autorités nationales (le fameux « guichet unique »).

• 2026 – 2028 : Mise en place technique : infrastructures communes, formats de données harmonisés, interopérabilité.

• Mars 2029 : Entrée en application complète de la plupart des obligations pour tous les acteurs concernés.

Pour les entreprises qui manipulent des données de santé : à quoi faut-il se préparer ? 

✔ Compatibilité européenne obligatoire : Vos outils devront parler le même langage que ceux des autres pays de l’UE. Fini les systèmes fermés !

✔ Des usages bien séparés : Soins, recherche, IA… Chaque usage devra être clair, distinct et traçable. Pas de mélange.

✔ Consentement béton : Il faudra prouver que la personne a dit oui, et pour quoi exactement.

✔ Le « guichet national », nouveau passage obligé : Toute demande pour réutiliser des données devra passer par une autorité désignée. Bonne nouvelle : si vous êtes déjà rigoureux sur le RGPD, vous avez une longueur d’avance. Le EHDS renforce ce socle, sans le réinventer.

3. Fonctionnalité Google Ads : et si vous enfreigniez la loi sans le savoir ?

Est-ce que je peux utiliser la fonctionnalité Google Ads Google « le suivi avancé des conversions” ?  C’est une question qui est revenue plusieurs fois chez nos clients.  

Mais de quoi parle-t-on exactement ? 

On vous raconte l’histoire !  Tout commence par un besoin universel chez les annonceurs : savoir ce qui marche pour convertir vos prospects en clients… et pouvoir le reproduire.

Avant, la méthode était simple (et bien huilée) : Un internaute clique sur une pub → un cookie est posé dans son navigateur → si la personne convertit, bingo, on peut relier l’action à la campagne. Mais aujourd’hui, ce modèle s’effondre :

✕ Les utilisateurs refusent les cookies.
✕ Les navigateurs les bloquent d’office. →

→ Résultat : les conversions sont de plus en plus difficiles à mesurer.

Le plan B de Google : le “suivi avancé des conversions”

Face à ça, Google sort un nouveau tour de passe-passe : plutôt que d’utiliser un cookie,

Google récupère des infos personnelles — comme l’email ou le numéro de téléphone — saisies dans vos formulaires (commande, inscription, etc.).

Ensuite, ces données sont croisées avec les comptes Google pour reconstruire le parcours d’achat ou de conversion. → Plus besoin de cookie : on “ré-identifie” l’utilisateur via ses données personnelles, le tout sans consentement.

 Sauf que voilà… côté RGPD, c’est loin d’être neutre.

Même sans cookie, vous traitez des données personnelles.

Donc, les règles changent… mais le cadre légal reste. Le consentement clair et explicite devrait être obligatoire pour tracker ces prospects.

Cette fonctionnalité ressemble de près à du « profilage automatisé », décrit par l’article 22 du RGPD, très encadré par le RGPD.

Selon notre analyse, l’outil n’est pas utilisable en l’état sans précautions sérieuses pour garantir sa conformité RGPD. (Consentement, transparence, documentation…).

Et concrètement, on fait quoi ? 

La CNIL ne s’est pas encore prononcée officiellement sur cette fonctionnalité de Google. En attendant une position claire, la prudence s’impose. 

Notre recommandation :

✔ N’activez pas le suivi avancé par défaut.

✔Assurez-vous que les données collectées (e-mail, téléphone…) le sont avec un consentement explicite, clair et granulaire.

✔ Mentionnez clairement cette finalité dans votre politique de confidentialité.

✔ Et surtout : documentez tout. Si vous êtes audité demain, vous devez pouvoir justifier chaque étape.

4. Êtes-vous dans le viseur de la CNIL cette année ? Les 4 grandes cibles annoncées pour 2025

Comme chaque année, la CNIL annonce ses priorités de contrôle.

En 2025, quatre thématiques clés sont dans le viseur autour de situations très concrètes que beaucoup d’organisations vivent au quotidien. 

Exercice des droits des personnes 

Notamment le droit à l’effacement (article 17 RGPD), sujet d’une action coordonnée avec 26 autorités européennes lancées en mars 2025.
 Ce que la CNIL vérifie :

• Les demandes sont-elles traitées dans les délais ? (1 mois la majorité des cas) 
• Les données sont-elles vraiment supprimées de tous vos systèmes (CRM, logs, sauvegardes…) ?
• Le processus est-il clair, documenté et traçable ?
   

Applications mobiles

En ligne de mire plus précisément : la gestion des traceurs, la géolocalisation, l’information des utilisateurs, et les conditions de recueil du consentement

Cybersécurité dans les collectivités locales  

L’objectif ? Vérifier si les collectivités ont mis en place des mesures suffisantes de protection face à la hausse des cyberattaques (ransomwares, fuites de données…). Des audits porteront notamment sur les accès, sauvegardes, mises à jour et gestion des sous-traitants.  

Vidéosurveillance en milieu sensible

Focus sur les établissements pénitentiaires et zones à accès réglementé (salle d’archive, salle informatique avec données sensibles, etc.) :

• Les personnes sont-elles correctement informées ?
• La conservation des images est-elle encadrée ?
• Le système est-il régulièrement audité ?

Ce thème donne un signal plus large : tous les dispositifs de surveillance doivent être évalués au regard du RGPD.

 Pourquoi c’est important ?

Même si vous n’êtes pas directement dans une des catégories visées, ces thèmes donnent une grille de lecture claire sur les attentes de la CNIL :
✔  Transparence
✔ Maîtrise des outils techniques
✔ Respect des droits
✔ Sécurité des données 

5. Shein : l’ultra fast-fashion qui traque dans votre vie privée – la CNIL ouvre le dossier

Identité, historique d’achat, méthode de paiement, préférences produits, comportement en ligne, navigation, likes sur les réseaux sociaux, adresse IP etc. : ils traquent tous ce qui vous concerne. 

Plus Shein en sait sur vous, plus elle vous vend efficacement : en personnalisant votre expérience, en optimisant ses ventes, en vous reciblant sur les réseaux sociaux, en nourrissant ses algorithmes prédictifs.

Comment ? En installant des dizaines de traceurs sur vos appareils : avant même de vous demander votre consentement, voire même si vous avez explicitement cliqué sur “refuser”. 

Vous l’aurez deviné… ces pratiques sont illégales. 

C’est ce que pointe la CNIL du doigt, qui envisage une amende record de 150 millions d’euros, assortie d’une astreinte de 100 000 € par jour tant que les infractions persistent. On vous tient au courant de la décision finale.

Vous êtes une entreprise du e-commerce ?  

Chaque site e-commerce est concerné. Le RGPD n’est pas une option, et concerne :vos pratiques marketing,votre site ou application,vos outils & sous-traitants. Tout doit être passé au crible pour éviter la sanction — et surtout, pour protéger votre actif le plus précieux : vos consommateurs.

6. Violation de données : ces 4 affaires qui ont agité le mois de mars

Santé, retail, secteur public… en mars, aucun secteur n’a été épargné.

Le point commun ? Des attaques par ransomware.Pour les organisations visées, les conséquences sont lourdes : juridiques, financières… mais aussi réputationnelles.

Cyberalliance – Une faille critique dans Oracle Cloud a exposé 6 millions de données clients, dont des identifiants SSO et clés de chiffrement. Les données ont été mises en vente par un hacker sous pseudonyme.

Intersport – Des documents internes (passeports, bulletins de salaire, n° de sécu…) ont été publiés par le groupe Hive, suite à une attaque par ransomware. Les systèmes de caisse et stocks ont été perturbés.

Autosur – Une base de 12 millions de dossiers clients (coordonnées, véhicules, mots de passe) a été exfiltrée et mise en vente sur le dark web. La faille viendrait d’un outil exposé sans protection.

Harvest – L’éditeur de logiciels financiers a subi un ransomware via une machine virtuelle mal sécurisée. Des données patrimoniales sensibles de clients auraient été exposées.

 Chez Dipeeo, on vous aide à prévenir le pire : nous sensibilisons vos équipes et mettons en place une procédure claire de gestion des violations de données. Et si l’incident survient, on est à vos côtés à chaque étape — de la détection à la notification à la CNIL.

7. Double authentification : mot de passe + SMS ? Trop risqué. La CNIL alerte

Double authentification : mot de passe + SMS ? Trop risqué. La CNIL alerteLa CNIL a publié en mars 2025 une recommandation officielle sur l’authentification multifacteur (MFA), un sujet devenu central face à la montée des attaques par usurpation d’identité.  L’objectif : aider les organisations à adopter des dispositifs d’authentification robustes, adaptés aux risques. 

Ce qu’il faut retenir : 

✔ La double authentification devient la norme, en particulier pour accéder à des comptes contenant des données personnelles ou professionnelles avec une certaine sensibilité. 

✔ Tous les moyens ne se valent pas : Le combo mot de passe + code reçu par SMS est déconseillé, jugé trop facile à pirater. Privilégiez les applications d’authentification (comme Google Authenticator, Microsoft Authenticator…) ou encore : des clés physiques de sécurité (type YubiKey).

✔ Le niveau d’authentification doit être proportionné au risque : Plus les données sont sensibles, plus le dispositif doit être solide.

Et pour vous, ça veut dire quoi ?

Si vos équipes ou vos clients accèdent à des comptes en ligne, il est temps de :

✔ Vérifier vos méthodes d’accès actuelles.
✔ Mettre en place une solution de double authentification plus sécurisée.
✔ Mettre à jour votre documentation et vos consignes internes.

Chez Dipeeo, on vous aide à choisir une solution adaptée à votre contexte, à sécuriser vos accès et à rester conforme en toute simplicité.

8. Un client mal conseillé, un sous-traitant condamné : la justice envoie un message clair

Le 19 mars 2025, la Cour de cassation a confirmé la condamnation d’un prestataire informatique… pour avoir manqué à son devoir de conseil en matière de protection des données. 

Le contexte

Le sous-traitant avait aidé son client à mettre en place un système de vidéosurveillance dans une entreprise, sans l’alerter sur les risques juridiques, alors que le dispositif violait clairement le RGPD (notamment sur l’information des personnes filmées). 

Ce que dit la Cour : Un sous-traitant ne peut pas se contenter d’exécuter les demandes d’un client “sans réserve”, surtout quand il sait que le traitement est illégal. Il doit conseiller, alerter, proposer des solutions alternatives.

Pourquoi c’est un signal fort :Le prestataire a été jugé responsable à titre principal, aux côtés du client.

Cela confirme que la responsabilité RGPD est partagée, y compris sur des prestations techniques.

Toute entreprise qui fournit un service impliquant des données doit être force de proposition, pas juste exécutante.

L’accompagnement Dipeeo

Nous accompagnons déjà 260 sous-traitants dans leur mise en conformité au RGPD, conformément à l’article 28 : 

✔ Mise à disposition d’un DPA (contrat de sous-traitance RGPD) complet et personnalisée.
✔ Négociation du DPA avec vos clients pour sécuriser vos responsabilités.
✔ Participation à des appels avec vos prospects ou clients pour démontrer que vous êtes un prestataire conforme et fiable. 

Notre objectif : faire de la conformité un levier de crédibilité commerciale — pas une case à cocher.

 9. Votre site est-il RGPD ready ? On vous partage notre méthode d’audit express

Votre site web, c’est la première vitrine RGPD de votre entreprise.
S’il n’est pas conforme, c’est souvent le signe que le reste ne l’est pas non plus (pratique marketing, RH, applications etc.). 

Le risque ? Donner une mauvaise image, faire fuir des prospects… et attirer l’attention de la CNIL. 

Et pas besoin d’être un expert RGPD pour le savoir. On vous partage notre méthode d’audit express — à télécharger juste ici.

10. On se retrouve à SantExpo ?

 Merci à toutes celles et ceux qui sont venus nous rencontrer lors du Salon Tech for Health ! Vous avez été nombreux à venir échanger avec nous sur vos enjeux RGPD, données de santé, IA et conformité numérique, HDS etc.  Prochain rendez-vous : SantExpo

• 21 au 23 mai 2025
• Paris Expo Porte de Versailles – Pavillon Startup 

Expert santé : Avec plus d’1/3 de nos clients dans ce secteur, nous vous accompagnons pour : 

✔ Garantir votre conformité RGPD 
✔ Réduire les risques de violations de données 
✔ Renforcer la confiance de vos patients et partenaire

Nous espérons que ces informations vous ont été utiles.

On se retrouve le mois prochain pour une nouvelle édition de La Minute RGPD.

Si vous avez des questions ou vous voulez en savoir plus n’hésitez pas à nous contacter !