Le RGPD évolue vite, et l’actualité du numérique ne cesse de bousculer les enjeux de conformité. Cybersécurité, intelligence artificielle, plateformes internationales, sanctions records… comment rester à jour sans y passer des heures ?

Chaque mois, la Minute RGPD vous livre le condensé des informations essentielles, analysées et contextualisées pour vous aider à faire de la conformité un véritable levier business, pas une contrainte.

Au programme, de cette édition de juin 2025 :

1. Vers un RGPD simplifié ? – Ce qui pourrait changer pour les PME et ETI
2. 90 M€ évités depuis 2018 grâce au RGPD – Et si la conformité devenait rentable ?
3.  Contrôle de l’âge – Bras de fer entre plateformes, stores et régulateurs
4.  500 000 € d’amende pour un oubli de sous-traitant – A ne pas reproduire
5. Ressources humaines – Les plaintes salariés explosent, la CNIL durcit le ton
6. Vishing – Les nouvelles attaques téléphoniques par IA
7. Prospection commerciale, la CNIL frappe fort – Caloga et SoLocal sanctionnées
8.  E-commerce, les fuites s’enchaînent – Cartier, Adidas, The North Face, Victoria’s Secret 
9.  Guide RGPD e-commerce – Le kit indispensable pour les entreprises
10. Dipeeo à VivaTech 2025 – On se rencontre ?

Bonne lecture !

1. Vers un RGPD simplifié ? – Ce qui pourrait changer pour les PME et ETI

Le 21 mai 2025, la Commission européenne a dévoilé un projet très attendu : une simplification ciblée du RGPD pour alléger les contraintes des petites et moyennes structures. Certains y voyaient déjà un tournant, voire la fin d’une ère réglementaire. Un “coup de tonnerre” dans l’écosystème de la conformité. Mais… que nenni. 

Ce que la réforme propose (si elle aboutit) :

Les entreprises jusqu’à 750 salariés (au lieu de 250 aujourd’hui) seraient exemptées de registre, sauf en cas de traitements à risque élevé.

• Les entreprises jusqu’à 750 salariés (au lieu de 250 aujourd’hui) seraient exemptées de registre, sauf en cas de traitements à risque élevé.
• Même les traitements sensibles (RH, santé, social) n’impliqueraient plus automatiquement cette obligation.
• Des codes de conduite spécifiques aux PME/ETI seraient introduits

L’aveu en creux : L’UE reconnaît que le registre des traitements est une formalité lourde, à faible valeur ajoutée pour les structures agiles. (Autrement dit : inutile.) Pour les pros du RGPD ou les insomniaques : Voici le projet complet en format PDF (48 pages seulement).

Chez Dipeeo, vous l’aurez compris, on n’a pas attendu Bruxelles pour le comprendre.
Depuis 4 ans, on le dit à nos clients : Le registre de traitements c’est une contrainte administrative, pas un outil de conformité. Il n’empêche pas les violations de données, ne répond pas à vos audits, ne protège pas les données, et ne vous fera jamais gagner un appel d’offres.  C’est pour ça que chez nous, le registre est 100 % automatisé depuis 2021. Temps de génération : 1 seconde. Et on consacre le reste du temps à ce qui compte vraiment.
Notre vision chez Dipeeo : Faire du RGPD votre meilleur allié business, pas l’inverse.

2. 90 M€ évités depuis 2018 grâce au RGPD – Et si la conformité devenait rentable ? 

Le 5 juin 2025, la CNIL a publié une étude inédite sur les retombées économiques du RGPD, intitulée :
« Cybersécurité : les bénéfices économiques du RGPD » [PDF disponible].

Ce que révèle le rapport :

Pour la première fois, le RGPD est analysé non pas comme une contrainte, mais comme un levier économique, via son impact direct sur la réduction des fraudes et des usurpations d’identité.

• 90 à 219 millions d’euros de pertes évitées en France depuis 2018 grâce à la mise en œuvre du RGPD
• À l’échelle de l’UE : un impact estimé entre 585 millions et 1,4 milliard d’euros
• Jusqu’à 82 % de ces gains bénéficieraient directement aux entreprises

Pourquoi un tel effet ?

• Des exigences de sécurité renforcées
  → Moins de fuites exploitables, détection plus rapide, obligation de notification (articles 32 à 34 RGPD)
• Des effets de chaîne positifs → Meilleure protection des partenaires, sous-traitants et clients grâce à la montée en maturité collective
• Des gains concrets et durables → Moins de litiges, plus de confiance, meilleure réputation, avantage concurrentiel

 La leçon clé pour les entreprises :

 ✔ Moins de risques = moins de coûts → Chaque fuite de données évitée protège votre chiffre d’affaires et évite des frais juridiques.

 ✔ La confiance client est un atout financier → En montrant que vous protégez les données, vous fidélisez vos clients et renforcez votre réputation.

 ✔ La conformité débouche sur des gains concrets → RGPD et performance économique ne s’opposent pas : ils se renforcent mutuellement.

Le RGPD ne coûte pas : il rapporte. Sécuriser vos données, c’est investir dans votre avenir économique.

3. Contrôle de l’âge : bras de fer entre plateformes, stores et régulateurs

Depuis début 2025, le débat sur la vérification de l’âge en ligne s’intensifie. En toile de fond : la volonté de mieux protéger les mineurs face aux contenus sensibles (réseaux sociaux, pornographie). Meta, soutenu par d’autres plateformes, pousse l’Union européenne à imposer aux app stores (Apple, Google) la responsabilité de vérifier l’âge des utilisateurs et d’obtenir l’accord parental avant le téléchargement d’une application par un mineur. 

D’ailleurs vous l’avez peut-être vu passer : depuis mai, Meta a lancé une vaste campagne de communication, à la fois sur ses propres plateformes et dans le métro. Le slogan: « Instagram demande une réglementation européenne exigeant la vérification de l’âge et un accord parental sur l’App Store. »

Objectif affiché : créer un système unifié, plus simple, et – selon Meta – plus respectueux de la vie privée.
Objectif officieux : déléguer la responsabilité juridique aux stores.

Sans surprise…Apple et Google s’y opposent :

• Google alerte sur les risques liés à une centralisation excessive : fuites de données, profilage, revente…
• Apple propose une approche technique via une API qui indique si un utilisateur est mineur, sans collecte directe de son âge. Mais la responsabilité reste aux développeurs.

Ce débat sur le contrôle de l’âge ne se résume pas à un désaccord entre plateformes et app stores. Il révèle une tension croissante entre logique industrielle, responsabilité juridique et exigences réglementaires, dans un contexte où la protection des mineurs devient un impératif politique. La France affiche une position particulièrement volontariste : Elle pousse pour une coalition européenne et n’exclut pas d’agir seule, comme elle l’a déjà fait avec le blocage de sites pornographiques.

La CNIL a d’ailleurs inscrit la protection des mineurs parmi ses enjeux stratégiques 2025–2028, appelant à la mise en place de dispositifs efficaces, proportionnés et respectueux de la vie privée. Les entreprises doivent s’y préparer : la vérification de l’âge devient un enjeu de conformité prioritaire, à l’intersection du RGPD, de la pression réglementaire et des attentes sociétales.  

Anticiper aujourd’hui, c’est éviter les sanctions demain.

4. 500 000 € d’amende pour un oubli de sous-traitant – À ne pas reproduire

En avril 2025, un hôpital a été sanctionné à hauteur de 500 000 € par l’autorité de protection des données espagnole.

Pourquoi ? Parce qu’il a fait appel à des prestataires techniques (sous-traitants ultérieurs) sans en informer son client, le ministère de la Santé de Valence.

Ce que dit le RGPD – article 28 :

Un sous-traitant ne peut pas déléguer un traitement à un autre prestataire sans respecter trois conditions :

• Informer le client (le responsable de traitement),
• Obtenir son autorisation écrite,
• Encadrer le sous-traitant ultérieur par un contrat équivalent.

Dans ce cas : L’hôpital n’a pas transmis la liste de ses prestataires, n’a pas notifié les ajouts, et a refusé de communiquer les contrats.

Résultat : une violation continue du RGPD, sanctionnée lourdement

Ce que nous recommandons chez Dipeeo pour les sous-traitants que nous accompagnons :

✔ Privilégiez l’autorisation générale (VS autorisation préalable)

→ Plus souple à gérer : vous n’avez pas besoin de demander l’accord du client à chaque nouveau sous-traitant, mais vous devez l’informer systématiquement.

✔ Fournissez une liste à jour des sous-traitants ultérieurs dès la signature du contrat

→ Cela renforce la transparence dès le départ et rassure vos clients sur la maîtrise de votre chaîne de traitement.

✔ Informez vos clients en cas de changement (sans délai figé)

→ L’autorisation est générale, mais l’information reste obligatoire. Le RGPD ne fixe pas de délai, mais l’information doit être transmise avant ou dès l’entrée en fonction du nouveau sous-traitant.

✔ Définissez clairement les critères d’objection dans le contrat

→ Pour éviter les blocages abusifs, encadrez ce droit d’opposition avec des critères objectifs et légitimes (ex. : contentieux en cours avec le nouveau sous-traitant ultérieur).

5. Ressources humaines – Les plaintes salariés explosent, la CNIL durcit le ton,

En 2025, la CNIL confirme une hausse continue des plaintes liées aux ressources humaines.
Dans son rapport annuel, elle fait état de 17 772 plaintes reçues en 2024, dont plus de 13 % concernent des traitements RH.

Surveillance excessive, CV conservés trop longtemps, accès non maîtrisé aux données des salariés…

Les pratiques RH sont clairement dans le viseur des contrôles.

Chez Dipeeo, on le voit tous les jours chez nos clients :le RGPD devient un levier dans les tensions sociales.

Un licenciement jugé abusif ? Un contentieux interne ? De plus en plus sensibilisés, les salariés activent leurs droits RGPD comme outil de pression ou de négociation.

Et souvent, une plainte ciblée sur les RH déclenche un contrôle global :Quand la CNIL ouvre un dossier, elle élargit vite son analyse à toute votre gestion des données personnelles.

Le signal est clair : sur les 10 dernières sanctions CNIL (procédure simplifiée du 22 mai 2025),
6 sur 10 concernent des manquements RH. 

Les pratiques les plus sanctionnées :

• Surveillance excessive des salariés (caméras, écoute, suivi d’activité sans justification)
• Conservation illégale de CV ou données RH trop longtemps
• Accès trop large aux données personnelles en interne
• Manque d’information sur les traitements RH (aucune note interne, pas de politique claire)

 Les bonnes pratiques à adopter sans tarder :

• Encadrer la surveillance : justifiez chaque dispositif, limitez sa portée, informez les salariés.
• Définir des durées de conservation claires : CV, bulletins, dossiers RH… pas de rétention inutile.
• Restreindre les accès aux données RH : gestion par rôle, journalisation, audits réguliers.
• Informer clairement vos collaborateurs : notes internes, politique RGPD RH, mentions dès l’embauche.
• Former vos équipes RH : comprendre le RGPD, gérer les demandes d’accès ou de suppression.

6. Vishing : les nouvelles attaques téléphoniques par IA 

ZATAZ lève le voile sur une nouvelle vague d’attaques téléphoniques dopées à l’IA.
Des pirates utilisent des voix clonées pour vous appeler… et ça marche : 

• Des voix plus vraies que nature : collègue, livreur, banquier… tout est imité à la perfection.
• Des appels personnalisés : prénom, commande récente, infos pro – tout y est.
• Objectif n°1 : vous faire cliquer, installer une app ou livrer un code.
• Objectif n°2 : détourner des fonds, espionner une entreprise ou préparer des attaques plus vastes. 

Résultat : votre téléphone devient un cheval de Troie, porte d’entrée vers vos données personnelles ou professionnelles.

Sans surprise, le RGPD encadre ce type de menace : 

✕ Traitement illégal de données personnelles (pas de base légale) 

✕ Manquement à l’obligation de sécurité 

✕ Violation de données = alerte obligatoire 

✕ Principe de responsabilité

Le RGPD attend des entreprises qu’elles mettent en place des mesures techniques, organisationnelles et humaines solides pour prévenir, détecter et réagir face à ces menaces.

Entreprise, vous êtes en première ligne. Voici ce que vous devez mettre en place pour anticiper ces attaques : 

• Sécuriser les terminaux → MFA, MDM, blocage des apps non autorisées
• Former les équipes → Reconnaître les attaques, appliquer les bons réflexes, suivre des procédures claires
• Documenter et prouver → Registre à jour, politiques internes, preuves de sensibilisation
• Prévoir la gestion de crise → Notification CNIL sous 72h, information des personnes concernées

Le RGPD attend des entreprises qu’elles anticipent, protègent et réagissent — et qu’elles puissent le démontrer.

7. Prospection commerciale, la CNIL frappe fort – Caloga et SoLocal sanctionnées 

La CNIL avait annoncé la couleur en début d’année : la prospection commerciale était l’un des thèmes prioritaires de ses contrôles en 2025. Et elle n’a pas tardé à agir. Résultat : deux sanctions d’envergure sont tombées ces dernières semaines :

 Caloga – 80 000 € d’amende (15 mai 2025) : Un data broker spécialisé dans la revente de données prospects. La CNIL a mené une enquête ciblée sur les pratiques des courtiers en données. Parmi les manquements constatés : 

• Envoi de courriels marketing sans consentement valable des destinataires.
• Transfert des données à des partenaires sans base légale sérieuse

 SoLocal Marketing Services – 900 000 € d’amende (21 mai 2025)  : SoLocal, ex‑PagesJaunes, agit comme intermédiaire publicitaire. L’entreprise a été épinglée pour les manquements suivants : 

• Manque de preuves de consentement préalable pour les campagnes e-mail et SMS.
• Formulaires de collecte flous, empêchant de vérifier la validité du consentement.
• Temps de réaction très lent : la société a continué à traiter les données pendant 17 mois après constatation des déficiences.

Ce qu’il faut retenir :

✔ Le consentement doit être explicite, libre et documenté : Il ne doit pas provenir d’une case pré‑cochée ou de formulaires ambigus.

✔ Le droit d’opposition doit être intégré et respecté immédiatement : Vous devez retirer toute personne qui s’oppose, sans délai.

✔ La CNIL n’attend pas vos plaintes, elle contrôle directement : Même sans recours porté par un particulier, une inspection suffit pour déclencher une sanction.

8. E-commerce, les fuites s’enchaînent – Cartier, Adidas, The North Face, Victoria’s Secret

Mai–juin 2025 aura été marqué par une série de violations de données dans le secteur de la distribution et du e-commerce : Cartier, Adidas, The North Face, Victoria’s Secret…

Autant de marques emblématiques ciblées par des attaques sophistiquées, illustrant la fragilité du secteur face aux cybermenaces. Pourquoi ce secteur est-il autant ciblé ?

• Données clients en masse : identités, historiques, adresses, parfois données de paiement
• Paiements en ligne et parcours digitalisés → attaques automatisées (credential stuffing, phishing, scraping…)
• Prestataires multiples → support client, CRM, services IT : autant de points d’entrée potentiels Zoom sur Cartier et Adidas  

Cartier le 2 juin : brèche directe dans les systèmes internes

Une intrusion a compromis des données clients via un logiciel interne.→ Données concernées : identifiants, coordonnées, historique de commandes.

 Adidas le 23 mai : fuite via un prestataire

Un outil marketing mal sécurisé a exposé les préférences et emails de milliers de clients.→ Origine : un sous-traitant négligent.

Retail : les 3 réflexes sécurité à absolument adopter

 ✔ Auditez vos prestataires critiques : Ne vous fiez pas aux apparences, exigez des preuves concrètes (clauses contractuelles, certification, sécurité des accès). Un prestataire négligent peut mettre en péril toute la chaîne de données.

✔ Déployez un plan de gestion des violations de données : Qui fait quoi si une fuite survient ? En combien de temps prévenez-vous la CNIL ? Vos clients ? Un processus clair et testé limite l’impact juridique et protège votre image.

✔ Restreignez l’accès aux données sensibles : Mettez en place le principe du moindre accès : seuls les collaborateurs qui en ont besoin y accèdent.

9. Guide RGPD – Le kit indispensable pour les entreprises du e-commerce  

On a réuni dans un guide pratique tout ce que vous devez savoir pour rendre votre e-commerce conforme au RGPD, simplement et efficacement. 

  Les 7 bonnes pratiques incontournables à appliquer sans tarder : information des clients, comment gérer les demandes de droit, etc. La liste de tous les documents juridiques essentiels pour être en conformité : politique de confidentialité, procédure de gestion en cas de violation de données, etc. Des astuces pratiques pour simplifier vos démarches et éviter les erreurs classiques : les règles à respecter en prospection commerciale, cookies, etc.

10. Dipeeo à VivaTech 2025 – On se rencontre ?

 Rendez-vous du 11 au 14 juin à Paris Expo Porte de Versailles pour VivaTech, le plus grand salon tech d’Europe. Nous serons sur place pour parler conformité RGPD, DPO externalisé, et surtout pour échanger avec vous sur vos enjeux business et data. 

 Lucia et Lisa seront présentes le jeudi 12 et vendredi 13 juin — prêtes à discuter, partager et conseiller.

Un café, un point rapide, une vraie discussion ? Faites-nous signe !  Par retour de mail ou directement via leurs profils LinkedIn : Lisa | Lucia

Nous espérons que ces informations vous ont été utiles.

On se retrouve le mois prochain pour une nouvelle édition de La Minute RGPD.

Si vous avez des questions ou vous voulez en savoir plus n’hésitez pas à nous contacter !