La deuxième quinzaine de janvier 2026 aura été particulièrement dense pour la protection des données. Côté français, la CNIL a sanctionné France Travail à hauteur de 5 millions d’euros, publié ses recommandations définitives sur le consentement multi-terminaux, ouvert une concertation inédite sur la preuve du consentement marketing et réactivé son observatoire des élections. Au niveau européen, le CEPD a adopté sa contribution à l’évaluation de la directive Police-Justice et mis à jour le référentiel BCR sous-traitant. Sur la scène internationale, l’événement phare reste l’adéquation mutuelle UE-Brésil, créant la plus grande zone mondiale de libre circulation des données. La Journée européenne de la protection des données du 28 janvier a fêté les 45 ans de la Convention 108, tandis que le 10e Prix CNIL-Inria a été lancé.
France : la CNIL sur tous les fronts
France Travail : 5 millions d’euros d’amende pour défaut de sécurité
Le 22 janvier 2026, la formation restreinte de la CNIL a infligé une amende de 5 millions d’euros à France Travail (ex-Pôle Emploi) pour manquement à l’article 32 du RGPD.
Au premier trimestre 2024, des attaquants ont exploité des techniques d’ingénierie sociale pour usurper des comptes de conseillers Cap Emploi. Ils ont ainsi accédé aux données de l’ensemble des personnes inscrites ou l’ayant été au cours des 20 dernières années, y compris les numéros de sécurité sociale. Les données de santé n’ont toutefois pas été compromises.
| Ce qu’il faut retenir : La CNIL relève que la plupart des mesures de sécurité adéquates avaient été identifiées par France Travail dans ses analyses d’impact, sans avoir été effectivement mises en œuvre. Une astreinte de 5 000 €/jour est prévue en cas de non-correction. |
Publication de la sanction de 3,5 M€ pour ciblage publicitaire via un réseau social
Rendue publique le 22 janvier 2026, la délibération du 30 décembre 2025 sanctionne une société de distribution (identifiée comme Intersport par la presse) de 3,5 millions d’euros (dont 1 M€ spécifiquement pour les cookies). Depuis février 2018, l’entreprise transmettait les coordonnées de 10,5 millions de membres de son programme de fidélité à un réseau social pour du ciblage publicitaire, sans consentement valable.
Les manquements retenus : absence de base légale (art. 6), défaut d’information (art. 13), absence d’AIPD, sécurité insuffisante (art. 32) et dépôt de cookies sans consentement (art. 82 LIL). La CNIL rappelle que l’entité qui transmet activement des données à un réseau social est responsable de traitement pour le ciblage.
Recommandations définitives sur le consentement multi-terminaux
Le 16 janvier 2026, la CNIL a publié la version consolidée de sa recommandation cookies intégrant la délibération n°2025-131 sur le consentement multi-terminaux (cross-device). Ce texte encadre la possibilité de rattacher les choix cookies au compte utilisateur plutôt qu’à chaque terminal.
Conditions clés : réservé aux univers authentifiés, symétrie obligatoire (si le consentement est global, le refus doit l’être aussi), information dès le premier niveau de la CMP, protection des terminaux partagés et minimisation des données transmises aux sous-traitants. La CNIL annonce l’ouverture en 2026 de travaux sur le consentement multi-propriétés (cross-domain).
Concertation sur la preuve du consentement marketing
Le 22 janvier 2026, la CNIL a annoncé l’ouverture d’une concertation pour élaborer une recommandation sur la preuve du consentement dans le secteur du marketing. La question de la démonstration du consentement valide est un enjeu majeur, particulièrement au sein de chaînes de traitement complexes (courtiers en données, recueil en ligne, à l’oral, par écrit). Les parties prenantes seront associées : organisations professionnelles, éditeurs de CMP, société civile.
Observatoire des élections municipales 2026
Le 30 janvier 2026, la CNIL a réactivé son observatoire des élections en vue des municipales des 15 et 22 mars 2026. Le règlement européen 2024/900 relatif à la transparence et au ciblage de la publicité politique, applicable depuis le 10 octobre 2025, constitue une nouveauté majeure pour cette échéance. La CNIL est désignée autorité compétente pour ses articles 18 et 19. En 2020, l’observatoire avait reçu près de 4 000 signalements, majoritairement sur des SMS et appels téléphoniques.
Autres actualités CNIL
10e Prix CNIL-Inria : Lancé le 26 janvier 2026, il récompensera un article scientifique sur la vie privée publié entre 2023 et 2026. Candidatures ouvertes jusqu’au 20 février. La remise aura lieu le 24 juin 2026 lors du Privacy Research Day.
Fichiers d’incidents bancaires : La CNIL a lancé un nouveau parcours utilisateur (MesDonnees.beta.cnil.fr) pour accompagner les 400 demandes annuelles liées au FICP et FCC, avec une approche plus pédagogique.
Journée de la protection des données (28 janvier) : France Télévisions et la CNIL ont organisé un atelier pour 100 collégiens. Le Conseil de l’Europe et l’EDPS ont co-organisé une conférence sur les nouvelles frontières de la protection des données, célébrant les 45 ans de la Convention 108.
Recensement 2026 : Démarré le 15 janvier, la CNIL a publié un accompagnement spécifique répondant aux questions des citoyens sur cette collecte de données.
Europe : le CEPD active son agenda 2026
CEPD : directive Police-Justice et nouveau référentiel BCR sous-traitant
Le 15 janvier 2026, le CEPD a adopté deux textes importants lors de sa plénière. D’abord, une contribution à l’évaluation de la directive Police-Justice (2016/680). Le CEPD souligne la nécessité de clarifier les chevauchements avec le RGPD et de renforcer l’encadrement de l’IA dans le contexte répressif. La Commission doit présenter son rapport d’évaluation au Parlement et au Conseil au plus tard le 6 mai 2026.
Ensuite, les Recommandations 1/2026 sur les BCR sous-traitant (BCR-ST) ont été adoptées. Elles remplacent les anciens textes WP265 et WP257 par un document unique substantiellement révisé. La consultation publique est ouverte jusqu’au 2 mars 2026.
Par ailleurs, les membres du CEPD ont procédé à un échange de vues sur le futur avis conjoint relatif à l’Omnibus numérique, dont l’adoption est prévue lors de la plénière de février.
Adéquation mutuelle UE-Brésil : un événement historique
Le 26 janvier, la Commission européenne a adopté sa décision d’adéquation pour le Brésil, et le 27 janvier, l’ANPD brésilienne a publié la Résolution n°32/2026 reconnaissant l’UE. C’est la première décision d’adéquation formelle du Brésil.
| Chiffres clés : Plus de 670 millions de personnes couvertes, la plus grande zone mondiale de libre circulation des données. Le Brésil rejoint la liste des 17 pays bénéficiant d’une décision d’adéquation de l’UE. Révision prévue dans 4 ans. |
Le Commissaire Michael McGrath a salué un accord couvrant les secteurs public et privé. L’EDPB avait rendu un avis favorable en novembre 2025, notant l’alignement étroit de la LGPD brésilienne avec le droit européen, tout en demandant des clarifications sur les AIPD, le secret commercial et les transferts ultérieurs.
Journée de la protection des données 2026
Le 28 janvier, le Conseil de l’Europe et l’EDPS ont co-organisé la 20e Journée de la protection des données sur le thème des nouvelles frontières de la protection des données. L’événement a mis en exergue le moment charnière de la réglementation européenne : la Convention 108+ approche de son entrée en vigueur, le RGPD entame ses discussions de révision avec l’Omnibus, et l’IA Act entre dans sa phase critique. Le Commissaire à la protection des données du Conseil de l’Europe a appelé les États à accélérer la ratification de la Convention 108+.
International
Adéquation UE-Royaume-Uni renouvelée
Rappelons que la Commission européenne a renouvelé l’adéquation du Royaume-Uni en décembre 2025, après examen des réformes issues du Data (Use and Access) Act. Ce renouvellement intervient dans un contexte de divergence croissante entre le cadre britannique et l’approche européenne.
Démarchage téléphonique : révolution de l’opt-in en France
La loi du 30 juin 2025 contre les fraudes aux aides publiques instaure, à compter du 11 août 2026, l’interdiction de tout démarchage téléphonique sans consentement préalable explicite. Le passage de l’opt-out à l’opt-in constitue un changement de paradigme. Bloctel fermera ses portes à cette date. Les sanctions pourront atteindre 500 000 €, voire 5 ans de prison en cas d’abus de faiblesse.
Convention 108 : 45 ans
La Convention 108, ouverte à la signature le 28 janvier 1981, a célébré ses 45 ans. Elle reste le seul traité international juridiquement contraignant en matière de protection des données, avec 55 pays signataires. Le protocole de modernisation (Convention 108+) poursuit sa trajectoire vers l’entrée en vigueur.
Synthèse : les dates clés du 15 au 31 janvier 2026
| Date | Événement |
|---|---|
| 15 janvier | CEPD : adoption contribution directive Police-Justice + BCR-ST. Consultation ouverte jusqu’au 2 mars. |
| 16 janvier | CNIL : publication recommandation consolidée cookies intégrant le consentement multi-terminaux. |
| 22 janvier | CNIL : sanction France Travail (5 M€). Publication sanction ciblage publicitaire (3,5 M€). Concertation preuve du consentement marketing. |
| 26 janvier | Commission européenne : adoption décision d’adéquation pour le Brésil. Lancement 10e Prix CNIL-Inria. |
| 27 janvier | ANPD brésilienne : Résolution 32/2026 reconnaissant l’UE. Cérémonie à Brasilia. |
| 28 janvier | 20e Journée européenne de la protection des données. 45 ans de la Convention 108. Atelier CNIL-France Télévisions pour collégiens. |
| 30 janvier | CNIL : réactivation observatoire des élections municipales 2026. Publication plan d’action. |
Agenda prévisionnel : février 2026
Événements confirmés
| Date | Événement |
|---|---|
| 5-6 février | 20e Université AFCDP des DPO. Thème : « DPO 2026 : à la croisée des réglementations, entre ambitions et réalité ». Intervention de Marie-Laure Denis (présidente CNIL) le 5 février. Présentation des premiers résultats de l’enquête métier DPO (CNIL/AFCDP/Afpa) le 6 février. |
| 9 février | Publication attendue du bilan des sanctions CNIL 2025 (83 sanctions, 486,8 M€ d’amendes cumulées, 143 mises en demeure). |
| 11-12 février | CEPD : plénière de février. Adoption prévue de l’avis conjoint CEPD/EDPS sur l’Omnibus numérique. Adoption possible du Programme de travail 2026-2027. |
| 12 février | Débat jeunesse au Parlement européen (Strasbourg) : 130 jeunes sur l’impact des IA conversationnelles sur la santé mentale. |
| 20 février | Clôture des candidatures 10e Prix CNIL-Inria. |
Développements à surveiller
Omnibus numérique : L’avis conjoint CEPD/EDPS, attendu pour la mi-février, sera déterminant. Il devrait porter sur la redéfinition de la donnée personnelle, l’intégration des règles cookies dans le RGPD, les facilitations pour l’IA et le report éventuel des obligations IA Act à haut risque.
IA Act : La Commission devrait publier fin février le projet de lignes directrices sur l’article 6 (classification des systèmes à haut risque), déjà en retard par rapport au délai du 2 février.
Municipales 2026 : Les campagnes s’intensifiant, la CNIL veillera au respect du RGPD et du règlement 2024/900 sur la publicité politique. Premières vagues de signalements attendues.
Consultation BCR sous-traitant : Ouverte jusqu’au 2 mars, la consultation du CEPD sur les Recommandations 1/2026 est un rendez-vous important pour les groupes internationaux.
Preuve du consentement marketing : Les travaux de concertation lancés par la CNIL devraient se structurer en février avec l’association des parties prenantes.
G7 des autorités de protection des données : La CNIL accueillera cet événement à Paris courant 2026. L’appel à communications pour le Privacy Research Day associé est déjà lancé.
Perspectives et tendances
| Quatre tendances à retenir :
1. La CNIL maintient la pression. Après 486,8 M€ d’amendes en 2025, les premières semaines de 2026 confirment la dynamique : France Travail (5 M€), Free (42 M€) et la sanction ciblage publicitaire (3,5 M€) montrent que ni les organismes publics, ni les opérateurs privés ne sont épargnés. 2. Le consentement se transforme. Multi-terminaux, preuve du consentement marketing, prochains travaux cross-domain : la CNIL construit un écosystème complet de règles pratiques autour du consentement. L’Omnibus numérique pourrait accélérer cette évolution en intégrant les cookies directement dans le RGPD. 3. L’Europe élargit son influence. L’adéquation UE-Brésil crée la plus grande zone de libre circulation des données au monde (670 millions de personnes). Le renouvellement de l’adéquation britannique et l’adéquation OEB montrent une diplomatie réglementaire active. 4. 2026 sera l’année charnière. Omnibus numérique, IA Act en phase critique, élections municipales, G7 des autorités à Paris, entrée en vigueur attendue de la Convention 108+ : les prochains mois s’annoncent décisifs pour la protection des données en France et dans le monde. |
