Actualités RGPD : La première quinzaine de février 2026 a été particulièrement dense en matière de protection des données personnelles. Entre le bilan record de la CNIL pour 2025, l’avis explosif du CEPD sur le Digital Omnibus, la montée en puissance de l’AI Act et les mouvements réglementaires à l’international, cette période confirme que 2026 sera une année charnière pour les professionnels de la conformité. Voici le tour d’horizon complet.
France : une CNIL plus offensive que jamais
Bilan 2025 de la CNIL : des chiffres records
Le 9 février 2026, la CNIL a publié son bilan annuel des sanctions pour l’année 2025. Les chiffres parlent d’eux-mêmes :
| Indicateur | Chiffre 2025 |
| Décisions totales | 259 |
| Sanctions prononcées | 83 (dont 67 en procédure simplifiée) |
| Montant cumulé des amendes | 486 839 500 € (x9 vs 2024) |
| Mises en demeure | 143 |
| Rappels aux obligations légales | 31 |
| Top sanctions | Google 325 M€, Shein 150 M€ (cookies) |
Les trois principaux motifs de sanction en 2025 sont les cookies et traceurs (21 organismes sanctionnés, dont les amendes géantes Google et Shein), la vidéosurveillance des salariés (16 organismes, surveillance permanente disproportionnée) et la sécurité insuffisante des données (14 organismes, mots de passe faibles, comptes partagés). La CNIL a également sévi contre 10 cas de prospection commerciale et politique non conforme, ainsi que 14 organismes pour défaut de coopération.
| À retenir pour les DPO
La conformité RGPD est désormais un processus continu. Les sanctions 2025 ne visent plus l’ignorance des règles mais le défaut de maintien dans le temps. Cookies, vidéosurveillance, sécurité : les fondamentaux restent les premières cibles. |
Sanction France Travail : 5 millions d’euros
Publiée le 22 janvier mais résonnant fortement en ce début février, la sanction de 5 millions d’euros à l’encontre de France Travail (ex-Pôle Emploi) constitue un signal fort. L’affaire remonte au premier trimestre 2024, lorsque des attaquants ont réussi à s’introduire dans le système d’information via des techniques d’ingénierie sociale, en usurpant des comptes de conseillers Cap Emploi. Les données de l’ensemble des inscrits des 20 dernières années ont été exposées, y compris les numéros de sécurité sociale.
La CNIL a retenu des manquements liés à l’insuffisance d’authentification et aux habilitations d’accès trop larges. Cette décision rappelle que les organismes publics sont pleinement soumis aux mêmes exigences que le secteur privé.
Sanctions FREE : 42 millions d’euros cumulés
Le 13 janvier 2026, la CNIL a sanctionné les sociétés FREE MOBILE (27 M€) et FREE (15 M€) pour des défauts de sécurité des données. Ces décisions illustrent la montée en puissance des sanctions même sans violation massive, dès lors que les mesures de sécurité sont jugées insuffisantes.
16 nouvelles sanctions simplifiées (février 2026)
La CNIL a annoncé 16 nouvelles sanctions via la procédure simplifiée pour un montant cumulé de 108 000 euros. Elles portent principalement sur la vidéosurveillance (filmage d’un local syndical dans le secteur pharmaceutique, caméras dans un établissement scolaire), la prospection commerciale via jeux-concours trompeurs, et surtout le défaut de coopération avec la CNIL (10 sanctions sur 16). Avocats, médecins, sociétés : ne pas répondre à la CNIL est désormais systématiquement sanctionné.
La 20ème Université AFCDP des DPO (5-6 février)
Les 5 et 6 février 2026, la 20ème Université AFCDP des DPO s’est tenue à la Maison de la Chimie à Paris, rassemblant près de 1 000 participants sous le thème « DPO en 2026 : à la croisée des réglementations, entre ambitions et réalité ». La CNIL était présente. Cinq sessions numériques sont programmées entre mars et novembre 2026 (20 mars, 22 mai, 18 septembre, 16 octobre, 20 novembre).
Autres faits marquants en France
Le 12 février à Strasbourg, 130 jeunes issus de programmes européens ont porté leur voix au Parlement européen pour débattre de l’impact des IA conversationnelles sur la santé mentale des jeunes. La CNIL a également lancé la 10ème édition du Prix CNIL-Inria de la vie privée et publié de nouvelles recommandations sur la preuve du consentement dans le marketing. Enfin, le programme de travail économique 2026-2028 de la CNIL vise à mieux comprendre les modèles économiques liés aux données et à mesurer l’impact économique de ses actions.
Fait notable : la CNIL accueillera en 2026 le G7 des autorités de protection des données à Paris, avec un Privacy Research Day associé.
Europe : l’échiquier réglementaire en pleine recomposition
Digital Omnibus : la réforme qui fait trembler le RGPD
C’est sans doute le sujet le plus structurant de cette période. Le 11 février 2026, le Comité européen de la protection des données (CEPD) et le Contrôleur européen (EDPS) ont adopté un avis conjoint sur la proposition de règlement Digital Omnibus, présentée par la Commission européenne le 19 novembre 2025.
Leur message est sans ambiguïté : si la simplification est bienvenue, les modifications proposées « vont au-delà d’un ajustement technique » et risquent de « réduire considérablement le périmètre des données protégées ». Anu Talus, présidente du CEPD, a résumé : « La simplification est essentielle, mais pas au détriment des droits fondamentaux. »
Ce que prévoit le Digital Omnibus pour le RGPD
Redéfinition des données personnelles : une information ne serait plus considérée comme personnelle si l’entreprise qui la traite n’est pas en mesure de réidentifier la personne. Les données pseudonymisées pourraient sortir du champ du RGPD pour certaines entités. La Commission pourrait décider par acte d’exécution quelles données pseudonymisées ne sont plus des données personnelles.
Intégration des règles cookies dans le RGPD : nouveaux articles 88a et 88b prévus. Le consentement reste la norme, mais des exemptions seraient possibles pour la mesure d’audience ou la sécurité. Refus en un clic obligatoire, interdiction de redemander le consentement avant 6 mois.
Nouvelles facilités pour l’IA : une exemption à l’interdiction de traiter des données sensibles pour le développement de systèmes d’IA, et extension de l’intérêt légitime au développement de modèles IA.
Limitation du droit d’accès : possibilité de refuser les demandes d’accès détournées de leur finalité de protection des données (usage contentieux).
Guichet unique pour les incidents : centralisation des notifications (NIS2, RGPD, eIDAS, CER) pour réduire les doublons administratifs.
| Alerte DPO
Le Digital Omnibus n’est encore qu’une proposition soumise au Parlement et au Conseil. Max Schrems (NOYB) dénonce un cadeau aux géants américains de la tech. La procédure législative pourrait s’étendre jusqu’à mi-2026, sauf procédure d’urgence. Restez conformes au cadre actuel. |
AI Act : entre mise en œuvre et retards
L’AI Act est entré dans sa phase d’exécution. Les obligations pour les modèles d’IA à usage général (GPAI) sont effectives depuis août 2025. L’AI Office surveille désormais activement la conformité des fournisseurs de modèles fondamentaux (documentation technique, respect du droit d’auteur, évaluation des risques systémiques).
Toutefois, la Commission a manqué l’échéance du 2 février 2026 pour publier les lignes directrices sur les systèmes IA à haut risque (article 6). Ce retard alimente le débat sur le report de certaines obligations. Le Digital Omnibus propose d’ailleurs de repousser l’entrée en vigueur des obligations haut risque (prévue en août 2026) d’un délai pouvant aller jusqu’à 16 mois, lié à la disponibilité des standards harmonisés.
Les deux organismes de normalisation européens (CEN et CENELEC) ont manqué leur échéance de production de standards techniques et visent désormais fin 2026. L’incertitude pèse sur les entreprises qui doivent néanmoins se préparer.
En France : la CNIL est l’autorité de régulation de l’AI Act depuis août 2025, élargissant considérablement son périmètre d’intervention.
En Irlande : publication le 4 février du projet de loi de transposition de l’AI Act, avec création d’un AI Office national.
Commission vs Meta/WhatsApp : une affaire emblématique
Le 9 février 2026, la Commission européenne a adressé une communication des griefs à Meta pour abus de position dominante. En cause : la modification des conditions d’utilisation de WhatsApp Business excluant depuis le 15 janvier 2026 tous les assistants IA tiers (ChatGPT, Perplexity…), laissant Meta AI seul en lice sur les 3 milliards d’utilisateurs de la plateforme.
La Commission envisage des mesures provisoires (outil rarement utilisé) pour forcer Meta à rétablir l’accès des concurrents pendant l’enquête. Teresa Ribera, Commissaire à la concurrence, a souligné la nécessité d’agir vite face à l’évolution rapide des marchés IA. Meta risque une amende pouvant atteindre 10 % de son chiffre d’affaires mondial.
Décision d’adéquation UE-Brésil
Le 27 janvier 2026, l’UE et le Brésil ont adopté des décisions d’adéquation mutuelles, créant le plus grand espace de libre circulation sécurisée des données au monde. Les transferts de données personnelles entre l’UE et le Brésil peuvent désormais s’effectuer sans encadrement spécifique. Le CEPD a salué la convergence étroite entre la LGPD brésilienne et le RGPD. L’Office européen des brevets bénéficie également d’une décision d’adéquation depuis juillet 2025.
Programme de travail CEPD 2026-2027
Le 12 février 2026, lors de sa dernière plénière, le CEPD a adopté son programme de travail 2026-2027, axé sur la facilitation de la conformité, le renforcement de la cohérence entre autorités et la coopération transfrontière. Il fait suite à la Déclaration d’Helsinki de juillet 2025, qui vise à rendre le RGPD plus clair et plus accessible pour les entreprises.
Conférence EDPS-EDPB « Data takes flight »
Le 12 février 2026 à Bruxelles, l’EDPS et les stagiaires du CEPD ont organisé la conférence « Data takes flight: Navigating privacy at the airport », sensibilisant au traitement des données personnelles dans le transport aérien.
Monde : l’accélération réglementaire à l’échelle planétaire
Royaume-Uni : le Data (Use and Access) Act entre en vigueur
Effective depuis le 5 février 2026, la loi britannique Data (Use and Access) Act 2025 confère à l’Information Commissioner le pouvoir d’infliger des amendes allant jusqu’à 17,5 millions de livres ou 4 % du chiffre d’affaires mondial. Le Royaume-Uni continue de diverger de l’UE en accordant plus de flexibilité réglementaire.
États-Unis : fragmentation et lois États
En l’absence de loi fédérale, les États multiplient les initiatives. La loi sur la responsabilité algorithmique du Colorado, effective en février 2026, définit les systèmes d’IA à haut risque (emploi, santé, éducation) et impose aux développeurs des obligations de documentation et de lutte contre la discrimination. La Californie exige la divulgation des jeux de données utilisés pour l’entraînement des IA génératives. Au total, 19 États américains ont désormais adopté des lois de protection des données.
Gambie : nouvelle loi complète
Le 9 février 2026, la Gambie a adopté le Personal Data Protection and Privacy Act, un cadre complet de protection des données dans la lignée du RGPD. Ce mouvement s’inscrit dans l’accélération de la prise de conscience en Afrique, après le Ghana et le Nigéria.
Chine : nouvelles mesures de certification
Les mesures chinoises de certification pour les transferts transfrontaliers de données sont effectives depuis le 1er janvier 2026, renforçant l’encadrement des flux sortants de données personnelles.
Cybersécurité : un contexte toujours tendu
La période a été marquée par des violations massives (200 millions de comptes Telegram exposés, fuite de données chez Betterment touchant 1,4 million de comptes, 637 incidents de cybersécurité pour les agences gouvernementales taïwanaises au second semestre 2025). La Convention 108 du Conseil de l’Europe, premier traité mondial contraignant sur la vie privée, a célébré ses 45 ans avec 55 pays signataires. Son protocole de modernisation (Convention 108+) approche de l’entrée en vigueur (38 ratifications nécessaires).
Agenda des 15 prochains jours (16 février – 2 mars 2026)
Cette section recense les événements clés à surveiller dans les deux prochaines semaines.
| Date | Evénement | Détails |
| 18 février | Conférence Lexing « Digital Omnibus » | Webinaire animé par Anne Renard sur les conséquences du Digital Omnibus (RGPD, AI Act, ePrivacy). Format distanciel. |
| 20 février | Plénière CNIL | Suite de la séance du 12 février. Suivi des dossiers en cours et orientations 2026. |
| Fin février | Publication lignes directrices AI Act art. 6 | La Commission devrait publier le projet final des lignes directrices sur le haut risque pour commentaires (report depuis le 2 février). |
| 2-5 mars | Mobile World Congress (Barcelone) | Sessions dédiées IA, données et régulation dans le plus grand salon mobile mondial. |
| 4-5 mars | Cloud Expo Europe (Londres) | Conférences Data Privacy et conformité cloud dans le contexte post-Brexit. |
| 20 mars | Session numérique AFCDP | Première session numérique de l’Université AFCDP des DPO (14h-17h). |
| En cours | Réponse de Meta à la Commission | Meta doit répondre aux griefs de la Commission sur WhatsApp. Décision sur les mesures provisoires attendue. |
| En cours | Examen Digital Omnibus au Parlement | Les comités du PE concernés commencent à examiner la proposition. Négociations intenses en perspective. |
Synthèse et perspectives
Cette première quinzaine de février 2026 dessine clairement les lignes de force de l’année à venir :
La CNIL monte en puissance. Avec près de 487 millions d’euros d’amendes en 2025, une stratégie assumant le rôle de régulateur de l’AI Act, et des fondamentaux RGPD toujours en tête des sanctions, la conformité n’est plus négociable.
Le Digital Omnibus redistribue les cartes. La possible redéfinition des données personnelles, l’intégration des cookies dans le RGPD et les assouplissements pour l’IA constituent un changement de paradigme. Le débat entre simplification et affaiblissement des droits structurera toute l’année 2026.
L’AI Act entre en phase critique. Entre le retard des standards, les retards de la Commission, et la proposition de report via l’Omnibus, les entreprises naviguent dans l’incertitude. Mais les obligations GPAI sont déjà effectives et les sanctions arrivent.
Le monde rattrape l’Europe. Des lois nouvelles en Afrique et aux États-Unis, l’adéquation UE-Brésil, les certifications chinoises : la protection des données devient un standard planétaire. Les DPO et responsables conformité doivent intégrer cette dimension mondiale.
