260304-Tableau-des-actus-Fevrier-2026-

Le 10 février 2026, la Cour de justice de l’Union européenne (« CJUE ») a jugé recevable le recours en annulation formé par WhatsApp Ireland Ltd contre la décision contraignante du Comité européen de la protection des données (« CEPD »), annulant l’ordonnance d’irrecevabilité du Tribunal de l’Union et renvoyant l’affaire devant celui-ci pour examen au fond.

Cet arrêt marque un tournant procédural majeur dans le contentieux du Règlement général sur la protection des données (« RGPD »).

Origine du litige

L’affaire trouve son origine dans une enquête de la Data Protection Commission (autorité irlandaise de contrôle) concernant le respect par WhatsApp de ses obligations de transparence et d’information au titre du RGPD.

A la suite de désaccords survenus entre les autorités de contrôle européennes, le mécanisme de règlement des litiges prévu à l’article e du RGPD a été activé.

Le CEPD a alors adopté une décision contraignante (décision 1/2021) conduisant l’autorité irlandaise à porter le montant de l’amende à 225 millions d’euros dans sa décision finale de 2021.

C’est à ce titre que WhatsApp a décidé d’attaquer directement la décision du CEPD devant le Tribunal de l’UE.

La question n’était pas encore de savoir si WhatsApp avait effectivement violé le RGPD mais si une entreprise peut contester directement une décision contraignante du CEPD devant le juge de l’Union.

Le Tribunal avait répondu par la négative, qualifiant la décision du CEPD d’acte intermédiaire, mais la CJUE censure cette analyse.

La solution de la Cour 

La décision du CEPD est bien un « acte attaquable » (article 263 TFUE)

La Cour raisonne classiquement : un acte est attaquable s’il émane d’un organe de l’UE et produit des effets juridiques contraignants vis-à-vis de tiers. Or, la décision adoptée par le CEPD :

• est contraignante pour l’autorité chef de file et les autorités concernées
• fixe définitivement la position du CEPD sur les points en litige
• ne laisse aucune marge d’appréciation sur les éléments tranchés.  

Elle ne peut donc être regardée comme une simple mesure intermédiaire.

WhatsApp est directement concernée 

La Cour rappelle les deux critères de l’affectation directe :

• Effet direct sur la situation juridique du requérant
• Absence de marge d’appréciation des destinataires chargés de la mise en œuvre, celle-ci devant être automatiques pour des points tranchés

En l’espèce, la décision du CEPD liait inconditionnellement les autorités nationales quant au constat de violation et aux éléments correctifs à adopter, modifiant ainsi de manière caractérisée la situation juridique de WhatsApp.

Le recours est donc déclaré recevable. L’affaire est renvoyée devant le Tribunal pour examen au fond.

Conséquence immédiate 

L’entreprise peut obtenir un contrôle juridictionnel de l’acte du CEDP lui-même, sans attendre uniquement l’issue d’un recours national contre la décision finale de l’autorité chef de fil.

Ainsi, les décisions contraignantes du CEPD ne sont plus un simple passage procédural, elles peuvent, dans certaines conditions, faire l’objet d’un recours direct devant le juge de l’Union. Cette décision consacre l’autonomie juridique des décisions contraignantes du CEPD.

Cet arrêt renforce donc indirectement le rôle du CEPD comme organe décisionnel européen dont les décisions peuvent avoir un effet direct sur les entreprises, et qui peuvent désormais être soumises à un contrôle juridictionnel de l’Union.

FAQ 

Qu’est-ce que le CEPD ?

Le Comité européen de la protection des données (« CEPD ») est l’organe européen chargé de garantir l’application cohérente du RGPD au sein de l’Union européenne. Il intervient notamment pour résoudre les litiges entre autorités de contrôles nationale, (article 65 RGPD).

Qu’est-ce qu’une « décision contraignante » du CEPD ?

Une décision contraignante est une décision adoptée par le CEPD dans le cadre du mécanisme de règlement des litiges (art. 65 RGPD). Elle s’impose aux autorités nationales concernées, qui doivent s’y conformer dans leur décision finale.

Qu’est-ce qu’un acte attaquable au sens de l’article 263 du TFUE ?

Un acte attaquable est un acte émanant d’une institution ou d’un organe de l’UE qui est destiné à produire des effets juridiques obligatoires à l’égard des tiers.

Quelle est la différence entre un recours national et un recours devant la CJUE ?

Le recours national vise la décision finale adoptée par l’autorité de contrôle chef de file.
Le recours devant le juge de l’Union vise directement la décision du CEPD en tant qu’acte autonome au sens de l’article 263 TFUE.

CELEX_62023CJ0097_FR_TXT

260223-Tableau-des-actus-Janvier-2026

260105-Tableau-des-actus-Decembre-2025-

Le règlement (UE) 2025/2518 du 26 novembre 2025, publié au Journal officiel de l’Union européenne du 12 décembre 2025, vise à remédier aux difficultés rencontrées dans le traitement des affaires transfrontalières en matière de protection des données. Il instaure pour la première fois un véritable cadre procédural harmonisé entre autorités de protection des données (« APD »), afin de renforcer la coopération, accélérer les enquêtes et mieux garantir les droits des parties.

Un RGPD plus fluide à l’échelle européenne

Reposant jusqu’ici sur un système décentralisé (autorité chef de file, autorités concernées, intervention du Comité européen de la protection des données (« EDPB ») en cas de désaccord), le RGPD souffrait en pratique de lenteurs et de divergences d’interprétation. Le nouveau règlement entend y répondre en :

• fixant des règles procédurales communes,
• clarifiant les étapes des enquêtes et en encadrant les délais,
• renforçant la coopération loyale et précoce entre APD,
• consolidant les droits procéduraux des plaignants et des responsables de traitement.

Réclamations : cadre clarifié et harmonisé

Le règlement définit les critères de recevabilité des réclamations (lien avec les données du plaignant, informations minimales requises) et distingue clairement les plaintes des simples demandes d’information.

Il précise le rôle de chaque APD dans les affaires transfrontalières, les modalités de transmission à l’autorité chef de file, ainsi que la gestion des dossiers incomplets.

Des procédures plus rapides et adaptées

Le règlement introduit :

• des délais indicatifs, dont un délai de 15 mois pour l’adoption d’un projet de décision par l’autorité chef de file,
• une procédure de résolution précoce lorsque la plainte devient sans objet,
• une coopération simplifiée pour les affaires non complexes,
• un résumé préliminaire des points essentiels, favorisant une convergence en amont entre autorités.

Renforcement des droits procéduraux

Les droits de la défense sont explicitement consacrés : accès au dossier, droit d’être entendu, possibilité de commenter les conclusions préliminaires. Le rôle du plaignant est également précisé (information sur l’avancement, possibilité de présenter des observations, sans accès aux informations confidentielles).

Rôle de l’EDPB, transparence et sécurité juridique

Le règlement encadre plus précisément le règlement des litiges par l’EDPB, prévoit un outil numérique commun entre APD, renforce la publicité des décisions, et limite l’application des nouvelles règles aux procédures ouvertes après un délai de 15 mois, afin d’éviter toute insécurité juridique.

Le 22 juillet 2025, la Commission européenne a lancé le processus visant à renouveler la décision d’adéquation du Royaume-Uni pour les transferts de données à caractère personnel.

Saisie pour avis, l’EDPB (Comité européen de la protection des données) reconnaît que le cadre britannique demeure largement aligné sur le RGPD, mais souligne plusieurs évolutions préoccupantes susceptibles de fragiliser la protection des données.

Un cadre juridique en mutation

Le Retained EU Law (Revocation and Reform) Act 2023 met fin à la primauté du droit de l’Union et à l’application directe de la Charte des droits fondamentaux.

Selon l’EDPB, cette évolution crée une incertitude juridique sur la stabilité du niveau de protection au Royaume-Uni.

L’EDPB invite la Commission européenne à analyser plus en détail l’impact de cette réforme et à assurer un suivi régulier de ses effets.

Des pouvoirs renforcés du gouvernement britannique

L’EDPB relève également que le Secrétaire d’Etat dispose désormais d’une large marge de manœuvre réglementaire pour modifier le droit des données (transferts internationaux, décisions automatisées, gouvernance de l’Information Commissioner’s Office « ICO ») sans véritable débat parlementaire.

Cette évolution pourrait affaiblir les garanties en matière de protection des données et d’indépendance du régulateur.

Autres points de vigilance

L’EDPB attire l’attention sur :

• Les exemptions de sécurité nationale potentiellement trop larges,
• Les nouveaux critères d’adéquation pour les transferts internationaux, jugés incomplets,
• Et les pouvoirs d’accès aux données chiffrées prévus par l’Investigatory Powers Act (IPA), qui pourraient compromettre la confidentialité des communications. Les Technical Capability Notices prévues par l’IPA peuvent obliger les entreprises à fournir un moyen de contourner le chiffrement. Cela crée des vulnérabilités systémiques et menace la sécurité des communications. L’EDPB demande à la Commission d’en tenir compte dans son évaluation finale.

Concernant la réforme de l’ICO, désormais organisé en conseil collégial, l’EDPB demande des garanties supplémentaires d’indépendance et de transparence dans le traitement des plaintes. En effet, l’ICO envisage aussi un nouveau système de traitement des plaintes (« triage »), ce qui pourrait filtrer l’accès des citoyens à la justice.

S’agissant des nouvelles pratiques de collecte de données massives, l’Investigatory Powers Amendment Act 2024 autorise la conservation et l’analyse de grands ensembles de données personnelles lorsque les personnes concernées ont « peu ou pas d’attente raisonnable de vie privée ». L’EDPB juge ce concept trop vague et susceptible d’abus. Il demande des clarifications sur les autorisations individuelles et catégorielles et une surveillance étroite de l’application pratique de cette notion.

Vers une décision d’adéquation prolongée jusqu’en 2031

La nouvelle décision de la Commission prolonge jusqu’à décembre 2031 certaines parties de celle de 2021, tout en intégrant les réformes britanniques récentes.

L’EDPB ne s’oppose pas à ce renouvellement mais recommande une vigilance accrue :

« La Commission devra exercer un suivi actif du cadre britannique conformément à l’article 45(4) du RGPD », conclut le Comité.

FAQ – Décision d’adéquation Royaume-Uni : avis 26/2025 de l’EDPB

Qu’est-ce qu’une décision d’adéquation ?

Une décision d’adéquation est un acte adopté par la Commission européenne qui reconnaît qu’un pays tiers (hors Union européenne) offre un niveau de protection des données personnelles équivalent à celui de l’UE. Cela permet aux entreprises d’y transférer des données personnelles sans mesures de protection supplémentaires.

Pourquoi la Commission européenne renouvelle-t-elle la décision d’adéquation du Royaume-Uni ?

La décision d’adéquation permet aux données personnelles européennes d’être transférées vers le Royaume-Uni sans garanties supplémentaires.

Celle de 2021 arrivant à échéance en 2025, la Commission européenne a lancé un processus de renouvellement afin de prolonger la reconnaissance du niveau de protection britannique jusqu’en décembre 2031, tout en tenant compte des réformes législatives récentes.

Que reproche l’EDPB à la règlementation du Royaume-Uni ?

L’EDPB reconnaît que le droit britannique reste proche du RGPD, mais relève plusieurs évolutions préoccupantes :

• Fin de la primauté du droit de l’UE (Retained EU Law Act 2023) ;
• Pouvoirs élargis du gouvernement pour modifier le droit des données ;
• Affaiblissement possible de l’indépendance du régulateur (ICO) ;
• Extensions des exemptions de sécurité nationale ;
• Risques liés au contournement du chiffrement dans l’Investigatory Powers Act.

Le Royaume-Uni reste-t-il un pays adéquat pour les transferts de données ?

Oui, pour l’instant.

L’EDPB considère que le niveau global de protection demeure adéquat, mais il insiste sur la nécessité d’un suivi constant compte tenu des nombreuses réformes du droit britannique des données et des pouvoirs accrus du gouvernement.

Jusqu’à quand la future décision d’adéquation sera-t-elle valable ?

Si la Commission adopte le projet tel quel, la nouvelle décision prolongera la reconnaissance du Royaume-Uni comme pays adéquat jusqu’en décembre 2031, sous réserve d’un examen régulier de la situation.

251208-Tableau-des-actus-Novembre-2025

L’intelligence artificielle générative (« IA générative ») suscite un intérêt croissant dans le domaine de la santé. Entre diagnostic, accompagnement thérapeutique et gestion administrative, ses applications se multiplient. Face à cette évolution rapide, la Haute Autorité de santé (« HAS ») a récemment publié ses premières recommandations pour encadrer l’utilisation de l’IA générative dans le secteur médical, afin d’assurer un usage sécurisé et éthique.

L’intelligence artificielle générative, une révolution dans le secteur de la santé

L’IA générative repose sur des modèles capables de créer du contenu original à partir de données d’apprentissage. Contrairement aux IA traditionnelles, elle ne se contente pas de traiter des informations existantes : elle génère de nouvelles propositions, textes, images ou simulations.

Dans le domaine médical, cette technologie ouvre des perspectives inédites :

• Aide à la rédaction de rapports médicaux ou synthèses de dossiers patients ;
• Assistance dans la recherche clinique et l’identification de nouvelles cibles thérapeutiques ;
• Génération de scénarios pour la formation et la simulation médicale.

Cependant, cette puissance s’accompagne de risques significatifs, notamment en termes de sécurité des données, de fiabilité des résultats et d’éthique. C’est pourquoi la HAS a décidé d’établir un cadre clair.

Les recommandations clés de la HAS

La HAS insiste sur plusieurs axes essentiels pour encadrer l’usage de l’IA générative en santé. Ces recommandations visent à protéger les patients et à garantir la fiabilité des outils utilisés par les professionnels de santé.

Sécurité et confidentialité des données

Les systèmes d’IA générative nécessitent des données de qualité pour produire des résultats fiables. La HAS rappelle que toute donnée de santé doit être protégée, conformément à la réglementation en vigueur, notamment le RGPD.

Les établissements doivent mettre en place :

• Des protocoles de cryptage et d’anonymisation des données ;
• Des systèmes de traçabilité pour savoir quelles données sont utilisées et comment ;
• Une formation du personnel à la manipulation sécurisée des outils numériques.

Qualité et fiabilité des contenus

Les algorithmes génératifs peuvent produire des erreurs ou des biais.

La HAS recommande :

• De vérifier systématiquement les résultats produits par l’IA avant toute utilisation clinique ;
• De privilégier les outils ayant fait l’objet de tests cliniques rigoureux ;
• D’instaurer une responsabilité partagée entre le professionnel de santé et le développeur de l’IA.

Transparence et information des patients

L’utilisation de l’IA générative doit être transparente pour le patient. La HAS souligne l’importance d’informer le patient lorsqu’un outil d’IA est utilisé dans sa prise en charge et de préciser les limites et la nature de l’assistance fournie par l’IA.

Les usages concrets de l’IA générative en santé

L’IA générative commence déjà à transformer certaines pratiques médicales. Parmi les applications identifiées :

Exemples d’utilisation dans les établissements de santé

• Rédaction automatique de comptes-rendus médicaux, permettant aux médecins de gagner du temps sur les tâches administratives ;
• Assistance à la décision clinique, en proposant des diagnostics possibles ou des recommandations thérapeutiques à partir des symptômes et antécédents du patient ;
• Formation et simulation, grâce à des scénarios générés automatiquement pour la formation des internes ou des équipes médicales.

Ces usages montrent un potentiel considérable pour améliorer l’efficacité et la qualité des soins, tout en réduisant la charge administrative pour les professionnels de santé.

Un cadre évolutif et collaboratif

La HAS précise que ces recommandations ne sont pas figées. L’objectif est de créer un cadre évolutif, adapté aux avancées technologiques et aux retours d’expérience des utilisateurs.

Elle encourage :

• La collaboration entre chercheurs, cliniciens et développeurs pour améliorer la fiabilité des outils ;
• L’évaluation continue des impacts éthiques et cliniques des IA génératives ;
• L’adaptation de la réglementation en fonction des nouvelles pratiques et découvertes.

Les enjeux à venir

L’intégration de l’IA générative dans le secteur médical soulève plusieurs enjeux majeurs :

• La formation des professionnels de santé pour utiliser ces outils de manière critique et sécurisée ;
• La lutte contre les biais et la désinformation générée par l’IA ;
• La protection des données sensibles, qui reste un défi permanent face aux cyberattaques.

Les premières recommandations de la HAS constituent un premier cadre officiel pour encadrer l’usage de l’IA générative en santé. Elles soulignent l’importance de la sécurité, de la fiabilité et de la transparence, tout en laissant la place à l’innovation.

Si l’IA générative offre des perspectives prometteuses pour améliorer les soins et la formation médicale, son utilisation nécessite prudence, vigilance et responsabilité. Les professionnels de santé et les développeurs devront collaborer pour garantir que cette technologie serve avant tout le bien-être et la sécurité des patients.

FAQ – IA générative en santé

Quelles différences entre l’IA générative et l’IA classique dans le domaine médical ?

Contrairement à l’IA classique, qui analyse des données existantes pour fournir des résultats prédéfinis, l’IA générative peut créer de nouvelles informations, modèles ou simulations à partir de ses apprentissages. Cela ouvre des perspectives inédites pour la formation, la recherche et l’assistance clinique.

L’IA générative peut-elle remplacer le rôle du médecin ?

Non, à l’heure des développements actuels, l’IA générative est un outil d’assistance. Elle peut aider à synthétiser des informations ou proposer des scénarios, mais la décision médicale finale doit toujours revenir à un professionnel de santé humain.

Quels risques éthiques sont associés à l’usage de l’IA générative ?

Les principaux risques concernent la confidentialité des données, les biais dans les algorithmes, et la possibilité de générer des informations incorrectes ou trompeuses. Une régulation stricte et une supervision humaine sont donc indispensables.

L’IA générative peut-elle être utilisée à domicile par les patients ?

Pour l’instant, son usage reste principalement médical ou scientifique, car l’interprétation des résultats nécessite une expertise. Toutefois, certains outils éducatifs ou applications de suivi santé pourraient émerger pour un usage grand public encadré.

Comment la HAS assure-t-elle l’évolution de ses recommandations sur l’IA en santé ?

La HAS adopte un cadre évolutif. Ses recommandations sont régulièrement mises à jour en fonction des avancées technologiques, des retours d’expérience des professionnels et des études sur l’efficacité et la sécurité des outils.

Quels métiers de la santé sont les plus impactés par l’arrivée de l’IA générative ?

Les médecins et chercheurs en recherche clinique, les pharmaciens, les radiologues, les spécialistes de la formation médicale et le personnel administratif sont particulièrement concernés par les gains de productivité et d’efficacité que l’IA générative peut offrir.

PDF Embedder requires a url attribute

251118-Tableau-des-actus-Octobre-2025-

251021-Tableau-des-actus-Septembre-2025-