Dans deux communications des 21 et 27 mars, la première sur les contrôles qu’elle mènera en 2025, la seconde sur son programme de travail cette année, la Cnil a annoncé un certain nombre de thématiques prioritaires pour l’année 2025.

La Cnil concentrera, notamment, ses contrôles sur les thématiques suivantes :

• La collecte de données par le biais des applications mobiles. La Cnil indique que les Français téléchargent désormais une trentaine d’applications mobiles par an et que ces applications sont devenues une source de traitement massif de données personnelles.
• Le droit à l’effacement, qui permet à une personne de demander à un organisme qu’il supprime ses données personnelles, dans les conditions prévues par le RGPD. La Cnil relève qu’une part importante des plaintes qu’elle reçoit porte sur le respect de ce droit. Ses contrôles auront pour objet de vérifier la manière dont les responsables de traitement traitent et répondent aux demandes d’effacement qu’ils reçoivent, et en particulier comment ils appliquent les conditions et exceptions pour l’exercice de ce droit.[1]

Le droit à l’effacement a été choisi comme thématique d’investigation au niveau européen pour 2025 et les contrôles de la Cnil s’inscriront donc dans une action coordonnée avec les autres autorités de contrôle européennes.

Pour information, un quart des contrôles de la Cnil s’inscrit dans le cadre des thématiques prioritaires annuelles qu’elle définit.

En ce qui concerne son programme de travail, la Cnil annonce plusieurs projets de « droit souple ».

Ainsi, elle prévoit de poursuivre ses travaux de clarification relatifs aux systèmes d’IA, de nouvelles fiches devant notamment être publiées sur la mobilisation de l’intérêt légitime, l’application du RGPD aux modèles d’IA, la sécurité et l’annotation.

Plusieurs référentiels sont par ailleurs en cours de construction, à des stades plus ou moins avancés, notamment :

• un référentiel d’évaluation des sous-traitants est en cours d’élaboration, après une consultation publique qui s’est achevée en février 2025. Ce référentiel devrait faciliter la démonstration de la conformité au RGPD dans un contexte de sous-traitance, une certification devant assurer que les traitements réalisés par le sous-traitant ont été évalués comme conformes aux critères du référentiel ;
• deux référentiels « durées de conservation » concernant les activités commerciales et marketing et les ressources humaines sont en cours de finalisation. Ils devraient fournir un outil d’aide à la prise de décision pour le responsable de traitement, en l’orientant vers les durées recommandées par la Cnil ou obligatoires en vertu d’un texte ;
• des référentiels permettant de mettre en œuvre des traitements de données de santé sur la base d’une déclaration de conformité, sans avoir à demander une autorisation préalable. Elle souhaite ainsi proposer des outils de simplification adaptés aux besoins des acteurs et aux pratiques professionnelles dans le secteur de la recherche en santé.

Consulter la communication de la CNIL du 21 mars 2025 : https://urls.fr/GHy1hy

Consulter la communication de la CNIL du 27 mars 2025 : https://urls.fr/w1X7IN

[1] Communication du CEPD 5 mars 2025

Bien entendu le service juridique de la FESP reste à votre entière disposition pour répondre à toutes vos interrogations et demandes d’accompagnement.

Ensemble nous sommes plus forts!

Le service juridique de la FESP
juridique@fesp.fr accueil@fesp.f