Veille juridique #04 I RGPD & Cybersécurité
Les quatre juristes de l’ATD16 ont à cœur de sécuriser au maximum vos activités en mettant leur expertise au service de tous les adhérents AMO et RGPD, pour les soutenir dans tous les domaines de la vie locale : gestion domaniale, marchés publics, pouvoir de police, fonctionnement des assemblées locales, protection des données personnelles, etc. À ce titre, nous proposons des conseils personnalisés, la création de modèles d’actes (délibérations, arrêtés, DCE…), ainsi que la relecture de vos procédures.
2 I RGPD & CYBERSÉCURITÉ
A I Actualités CNIL
Les électeurs et le RGPD
La CNIL rappelle les droits des électeurs sur leurs données personnelles. Toute communication politique d’un parti ou d’un candidat doit comporter les mentions obligatoires, comme pour toute collecte de données. Les personnes doivent aussi pouvoir exercer à tout moment leurs droits : information et consentement, accès, rectification, effacement, opposition, limitation et portabilité.
https://www.cnil.fr/fr/respecter-les-droits-des-electeurs-sur-leurs-donnees-personnelles
Les caméras touristiques
Face à l’installation croissante de caméras « touristiques » par les communes, la CNIL rappelle que ces dispositifs ne relèvent pas de la vidéoprotection, réservée à des finalités de sécurité encadrées par la loi.
Dès lors que des personnes ou des plaques d’immatriculation peuvent être identifiées, la diffusion en ligne constitue un traitement de données personnelles soumis au RGPD.
Or, la base légale de l’« intérêt légitime » ne peut pas être retenue lorsque l’atteinte à la vie privée est disproportionnée et que les risques d’usages malveillants sont importants.
La CNIL souligne aussi que les habitants et touristes ne peuvent pas raisonnablement s’attendre à être filmés et diffusés publiquement, sans possibilité simple de s’y opposer avant la captation.
En pratique, des caméras touristiques restent possibles si elles ne captent aucune donnée personnelle, en limitant strictement les angles de vue à des bâtiments publics ou des sites naturels, sans personne ni habitation (même floutée).
B I Les sanctions
France Travail et la sécurité des accès
Face à la cyberattaque subie par France Travail début 2024, la CNIL relève une intrusion facilitée par de l’ingénierie sociale et l’usurpation de comptes CAP EMPLOI.
Les attaquants ont accédé à des données d’un très grand nombre de personnes (jusqu’à 20 ans d’inscription) comme le numéro de sécurité sociale, les coordonnées et contacts.
Le contrôle a pointé des failles de sécurité au regard de l’article 32 du RGPD (authentification, traçabilité/journalisation, droits d’accès trop larges). La CNIL a donc infligé une amende de 5 millions d’euros et imposé un plan de mesures correctrices avec calendrier.
En cas de retard, une astreinte de 5 000 € par jour s’applique, la CNIL rappelant qu’elle sanctionne mais n’indemnise pas les victimes.
https://www.cnil.fr/fr/violation-de-donnees-sanction-5millions-france-travail
La sanction face à l’absence de consentement
Face au contrôle de la CNIL, SOLOCAL MARKETING SERVICES a été sanctionnée pour prospection électronique sans consentement valable. Les données provenaient de courtiers utilisant des formulaires trompeurs ne garantissant pas un consentement libre et éclairé. L’entreprise n’a pas été en mesure de prouver le consentement des personnes concernées.
La CNIL a infligé une amende de 900 000 € et ordonné la mise en conformité sous astreinte.
Elle rappelle qu’un responsable de traitement doit vérifier et pouvoir démontrer la licéité des données utilisées pour prospecter
https://www.cnil.fr/fr/sanction-de-900–000-euros-societe-solocal-marketing-services
La CNIL présent son bilan annuel des sanctions et mesures correctrices
Quelques chiffres à retenir : la CNIL a pris 259 décisions en 2025 dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales, 2 avertissements et 486 839 500 euros d’amendes cumulées.
Les principaux manquements sanctionnés restent classiques : sécurité insuffisante, absence de coopération avec la CNIL et non-respect des droits des personnes.
Les cookies/traceurs sont une cible majeure : consentement absent ou mal recueilli, refus non respecté, avec des amendes massives pour certains acteurs.
La CNIL sanctionne aussi la vidéosurveillance disproportionnée des salariés et rappelle les obligations strictes des sous-traitants (sécurité, instructions, suppression).
Les mises en demeure visent notamment l’aide sociale à l’enfance et des services utilisés par des mineurs (conservation, transparence, contrôle de l’âge).
https://www.cnil.fr/fr/bilan-sanctions-2025
Jurisprudence du Conseil d’État et vidéoprotection
Le Conseil d’État juge qu’en l’état actuel de la loi (code de sécurité intérieure), les collectivités ne peuvent pas recourir à un traitement algorithmique pour analyser automatiquement les images de vidéoprotection sur la voie publique. Il s’agissait plus précisément d’un traitement automatisé permettant de détecter les véhicules mal stationnés devant les écoles et d’alerter la police municipale si nécessaire.
