2025 – Le coin du DPO

EDPS – Formal comments on the draft Commission Delegated Regulation amending Regulation (EU) 2018/1862 of the European Parliament and of the Council as regards the sub-categories of objects of high value in the Schengen Information System – December 2025

25-12-19_formal-comments-sub-categories-of-objects-of-high-value-in-the-schengen-information-system_en_1

EDPS – Opinion 30-2025 on the signing and conclusion of an Agreement between the EU and the Swiss Confederation on the transfer of Passenger Name Record data – December 2025

25-12-19-opinion_eu-and-the-swiss-confederation-on-the-transfer-of-passenger-name-record-data_en

Délibération n° SAN-2025-014 du 11 décembre 2025 concernant la société MOBIUS SOLUTIONS LTD

Deliberation-SAN-2025-014-du-11-decembre-2025-Legifrance

EDPS – Formal comments on the draft Commission Implementing Regulation laying down provisions on electronic licences for the export of cultural goods under Council Regulation (EC) No 116/2009 and repealing Commission Implementing Regulation (EU)No 1081/2012 – December 2025

25-12-18_formal_comments_electronic_licences_for_the_export_of_cultural_goods_en

CNIL – La CNIL publie un outil pour la traçabilité des modèles d’IA publiés en source ouverte – Décembre 2025

CNIL – Prospection politique : la CNIL sanctionne cinq candidats aux élections européennes et législatives 2024 – Décembre 2025

Prospection-politique-_-la-CNIL-sanctionne-cinq-candidats-aux-elections-europeennes-et-legislatives-2024-_-CNIL

Règlement (UE) 2025/2518 : un code de procédure européen pour les traitements transfrontaliers

Le règlement (UE) 2025/2518 du 26 novembre 2025, publié au Journal officiel de l’Union européenne du 12 décembre 2025, vise à remédier aux difficultés rencontrées dans le traitement des affaires transfrontalières en matière de protection des données. Il instaure pour la première fois un véritable cadre procédural harmonisé entre autorités de protection des données (« APD »), afin de renforcer la coopération, accélérer les enquêtes et mieux garantir les droits des parties.

Un RGPD plus fluide à l’échelle européenne

Reposant jusqu’ici sur un système décentralisé (autorité chef de file, autorités concernées, intervention du Comité européen de la protection des données (« EDPB ») en cas de désaccord), le RGPD souffrait en pratique de lenteurs et de divergences d’interprétation. Le nouveau règlement entend y répondre en :

fixant des règles procédurales communes,
clarifiant les étapes des enquêtes et en encadrant les délais,
renforçant la coopération loyale et précoce entre APD,
consolidant les droits procéduraux des plaignants et des responsables de traitement.

Réclamations : cadre clarifié et harmonisé

Le règlement définit les critères de recevabilité des réclamations (lien avec les données du plaignant, informations minimales requises) et distingue clairement les plaintes des simples demandes d’information.

Il précise le rôle de chaque APD dans les affaires transfrontalières, les modalités de transmission à l’autorité chef de file, ainsi que la gestion des dossiers incomplets.

Des procédures plus rapides et adaptées

Le règlement introduit :

des délais indicatifs, dont un délai de 15 mois pour l’adoption d’un projet de décision par l’autorité chef de file,
une procédure de résolution précoce lorsque la plainte devient sans objet,
une coopération simplifiée pour les affaires non complexes,
un résumé préliminaire des points essentiels, favorisant une convergence en amont entre autorités.

Renforcement des droits procéduraux

Les droits de la défense sont explicitement consacrés : accès au dossier, droit d’être entendu, possibilité de commenter les conclusions préliminaires. Le rôle du plaignant est également précisé (information sur l’avancement, possibilité de présenter des observations, sans accès aux informations confidentielles).

Rôle de l’EDPB, transparence et sécurité juridique

Le règlement encadre plus précisément le règlement des litiges par l’EDPB, prévoit un outil numérique commun entre APD, renforce la publicité des décisions, et limite l’application des nouvelles règles aux procédures ouvertes après un délai de 15 mois, afin d’éviter toute insécurité juridique.

PDF Embedder requires a url attribute

Royaume-Uni : l’EDPB alerte sur les risques liés au renouvellement de la décision d’adéquation

Le 22 juillet 2025, la Commission européenne a lancé le processus visant à renouveler la décision d’adéquation du Royaume-Uni pour les transferts de données à caractère personnel.

Saisie pour avis, l’EDPB (Comité européen de la protection des données) reconnaît que le cadre britannique demeure largement aligné sur le RGPD, mais souligne plusieurs évolutions préoccupantes susceptibles de fragiliser la protection des données.

Un cadre juridique en mutation

Le Retained EU Law (Revocation and Reform) Act 2023 met fin à la primauté du droit de l’Union et à l’application directe de la Charte des droits fondamentaux.

Selon l’EDPB, cette évolution crée une incertitude juridique sur la stabilité du niveau de protection au Royaume-Uni.

L’EDPB invite la Commission européenne à analyser plus en détail l’impact de cette réforme et à assurer un suivi régulier de ses effets.

Des pouvoirs renforcés du gouvernement britannique

L’EDPB relève également que le Secrétaire d’Etat dispose désormais d’une large marge de manœuvre réglementaire pour modifier le droit des données (transferts internationaux, décisions automatisées, gouvernance de l’Information Commissioner’s Office « ICO ») sans véritable débat parlementaire.

Cette évolution pourrait affaiblir les garanties en matière de protection des données et d’indépendance du régulateur.

Autres points de vigilance

L’EDPB attire l’attention sur :

Les exemptions de sécurité nationale potentiellement trop larges,
Les nouveaux critères d’adéquation pour les transferts internationaux, jugés incomplets,
Et les pouvoirs d’accès aux données chiffrées prévus par l’Investigatory Powers Act (IPA), qui pourraient compromettre la confidentialité des communications. Les Technical Capability Notices prévues par l’IPA peuvent obliger les entreprises à fournir un moyen de contourner le chiffrement. Cela crée des vulnérabilités systémiques et menace la sécurité des communications. L’EDPB demande à la Commission d’en tenir compte dans son évaluation finale.

Concernant la réforme de l’ICO, désormais organisé en conseil collégial, l’EDPB demande des garanties supplémentaires d’indépendance et de transparence dans le traitement des plaintes. En effet, l’ICO envisage aussi un nouveau système de traitement des plaintes (« triage »), ce qui pourrait filtrer l’accès des citoyens à la justice.

S’agissant des nouvelles pratiques de collecte de données massives, l’Investigatory Powers Amendment Act 2024 autorise la conservation et l’analyse de grands ensembles de données personnelles lorsque les personnes concernées ont « peu ou pas d’attente raisonnable de vie privée ». L’EDPB juge ce concept trop vague et susceptible d’abus. Il demande des clarifications sur les autorisations individuelles et catégorielles et une surveillance étroite de l’application pratique de cette notion.

Vers une décision d’adéquation prolongée jusqu’en 2031

La nouvelle décision de la Commission prolonge jusqu’à décembre 2031 certaines parties de celle de 2021, tout en intégrant les réformes britanniques récentes.

L’EDPB ne s’oppose pas à ce renouvellement mais recommande une vigilance accrue :

« La Commission devra exercer un suivi actif du cadre britannique conformément à l’article 45(4) du RGPD », conclut le Comité.

FAQ – Décision d’adéquation Royaume-Uni : avis 26/2025 de l’EDPB

Qu’est-ce qu’une décision d’adéquation ?

Une décision d’adéquation est un acte adopté par la Commission européenne qui reconnaît qu’un pays tiers (hors Union européenne) offre un niveau de protection des données personnelles équivalent à celui de l’UE. Cela permet aux entreprises d’y transférer des données personnelles sans mesures de protection supplémentaires.

Pourquoi la Commission européenne renouvelle-t-elle la décision d’adéquation du Royaume-Uni ?

La décision d’adéquation permet aux données personnelles européennes d’être transférées vers le Royaume-Uni sans garanties supplémentaires.

Celle de 2021 arrivant à échéance en 2025, la Commission européenne a lancé un processus de renouvellement afin de prolonger la reconnaissance du niveau de protection britannique jusqu’en décembre 2031, tout en tenant compte des réformes législatives récentes.

Que reproche l’EDPB à la règlementation du Royaume-Uni ?

L’EDPB reconnaît que le droit britannique reste proche du RGPD, mais relève plusieurs évolutions préoccupantes :

Fin de la primauté du droit de l’UE (Retained EU Law Act 2023) ;
Pouvoirs élargis du gouvernement pour modifier le droit des données ;
Affaiblissement possible de l’indépendance du régulateur (ICO) ;
Extensions des exemptions de sécurité nationale ;
Risques liés au contournement du chiffrement dans l’Investigatory Powers Act.

Le Royaume-Uni reste-t-il un pays adéquat pour les transferts de données ?

Oui, pour l’instant.

L’EDPB considère que le niveau global de protection demeure adéquat, mais il insiste sur la nécessité d’un suivi constant compte tenu des nombreuses réformes du droit britannique des données et des pouvoirs accrus du gouvernement.

Jusqu’à quand la future décision d’adéquation sera-t-elle valable ?

Si la Commission adopte le projet tel quel, la nouvelle décision prolongera la reconnaissance du Royaume-Uni comme pays adéquat jusqu’en décembre 2031, sous réserve d’un examen régulier de la situation.

Règlement (UE) 2025/2518 du Parlement européen et du Conseil du 26 novembre 2025 établissant des règles de procédure supplémentaires relatives à l’application du règlement (UE) 2016/679

Reglement-UE-2025_2518-du-Parlement-europeen-et-du-Conseil-du-26-novembre-2025

Novembre 2025 en bref

251208-Tableau-des-actus-Novembre-2025