En 2025, l’ACPR poursuit son programme de travail avec pour objectif de renforcer la résilience et l’efficacité du secteur financier. Le terme « Résilience » résonne en effet beaucoup depuis ces derniers mois, il n’est pourtant pas nouveau mais il permet à l’ACPR d’inclure sa nouvelle surveillance DORA.

Pour cette année, l’ACPR s’est ainsi fixée 4 axes stratégiques pour garantir la stabilité des secteurs bancaires et assurantiels dans un environnement « économique et politique incertain » :

Une trentaine de CNIL européennes (autorités de surveillance) ont mené des enquêtes coordonnées courant 2024 afin d’évaluer le respect, par les responsables de traitement, du droit d’accès à leurs données par les personnes concernées.

Ces actions ont pris diverses formes : exercices d’enquête, évaluations préliminaires pour identifier d’éventuelles infractions et, dans certains cas, ouverture d’enquêtes ou de contrôles formels.

Un questionnaire standardisé a été élaboré pour interroger un large éventail de responsables de traitement, qu’ils soient publics ou privés, soit 1 185 responsables de traitement y ont répondu, représentant des secteurs variés, allant des PME aux grandes entreprises.

Pour près des deux tiers des autorités de surveillance, l’analyse des réponses a ainsi révélé un niveau de conformité comme allant de « moyen » à « élevé ». Toutefois, un faible volume de demandes d’accès signalé par certains responsables de traitement suggère un manque de reconnaissance des requêtes d’accès, pouvant refléter des lacunes en matière de sensibilisation.

Une autre observation clé concerne le manque de connaissance des lignes directrices relatives à l’application de ce droit, adoptées par le CEPD le 28 mars 2023. Ce qui explique la mauvaise ou l’absence d’application de ce droit auprès des personnes concernées.

Malgré cela, des pratiques exemplaires ont été relevées, comme l’intégration de formulaires en ligne dits « conviviaux » permettant aux personnes concernées de réaliser facilement la demande auprès du responsable de traitement ou encore l’adoption de systèmes en libre-service pour télécharger ces données personnelles de manière autonome.

La CNIL a ouvert une consultation publique jusqu’au 28 février 2025 pour élaborer un référentiel de certification destiné aux sous-traitants traitant des données personnelles. Cette initiative vise à renforcer la conformité au RGPD de ces acteurs et à offrir aux responsables de traitement une garantie supplémentaire dans le choix de leurs partenaires.

Dans le cadre du RGPD, les sous-traitants ont en effet des obligations spécifiques lorsqu’ils traitent des données pour le compte d’un responsable de traitement. Ce cadre réglementaire s’applique à tous les sous-traitants, sans critère ou caractère critique des activités sous-traitées.

En revanche, la communication de la CNIL autour de ce référentiel s’adresse de manière plus directe et ferme aux prestataires informatiques, aux intégrateurs de logiciels, aux agences de marketing et aux entreprises de services numériques en les citant ouvertement. Un appel du pied remarqué de la part de l’Autorité auprès de ces entreprises qui s’exemptent peut-être trop rapidement de leurs obligations…

De leur côté, les responsables de traitement doivent s’assurer que leurs sous-traitants offrent des garanties suffisantes en matière de protection des données.

La future certification permettra donc aux sous-traitants d’attester de la conformité d’un produit, d’un service ou encore de l’éthique et de la politique générale de l’entreprise en matière de protection des données personnelles. Elle servira également d’outil de sélection pour les entreprises recherchant des prestataires fiables.

Chose promise, chose due… Comme elle l’avait annoncé lors de sa réunion de place du 9 octobre 2024, l’ACPR a publié la version finale de sa notice sur le cadre de gestion des risques TIC sur la base de son projet proposé en décembre 2024.

Cette notice a pour objectif d’accompagner les entités assujetties dans l’application des exigences DORA relatives à la gestion des risques TIC mais également de recueillir un panel large des références réglementaires DORA depuis les nombreux actes délégués de niveau II et normes techniques de ces derniers mois.

Cette notice s’articule ainsi en 5 parties et 1 annexe :

Le 20 janvier 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices portant à la fois sur le principe de la pseudonymisation et le renforcement de la coopération avec les autorités de la concurrence.

Pour la première fois, la notion de pseudonymisation obtient une définition claire de ses moyens d’application. Ces lignes directrices apportent en effet un réel descriptif pour faciliter son implémentation au sein des organismes traitant des données personnelles. Les données sensibles comme les données de santé peuvent être concernées par la pseudonymisation.

La pseudonymisation est un outil permettant aux responsables de traitements de rendre non identifiable une donnée personnelle. Cela permet ainsi de traiter des données personnelles, sans pour autant connaitre l’identité de la personne qui est concernée par cette donnée. Grace à cette technique, les personnes concernées se voient ainsi être protégées et le responsable de traitement obtient la possibilité de continuer à traiter les données non identifiables.

En effet, le lien entre la personne concernée et la donnée devient secret. De cette manière, les principes de la protection des données sont conservés, les risques sont contrôlés et le responsable de traitement conserve la possibilité de traiter les données pseudonymisées. Et cette opération est réversible.

Attention toutefois, ne pas confondre la pseudonymisation et l’anonymisation qui sont deux termes bien différents et ne concernent pas les mêmes besoins. En effet, une fois l’anonymisation faite, il est impossible de faire le lien entre une donnée personnelle et la personne à laquelle elle appartient. De plus, les régimes légaux sont différents. Contrairement à la pseudonymisation, l’anonymisation n’est pas soumise à l’application du RGPD.

Un volet important de ces lignes directrices porte en outre sur les moyens de sécurité devant être pris en compte au moment de la pseudonymisation de données. Dans ses lignes directrices, le CEPD a souhaité en effet porter une attention particulière

C’est l’heure du bilan ! Comme chaque année, l’ACPR établit le nombre d’inscriptions nouvelles qu’elle a effectuées sur sa « liste noire » des sites ou entités proposant, en France, des crédits, des livrets d’épargne, des services de paiement ou des contrats d’assurance sans y être autorisés.

Ainsi, sur 2024, elle ne comptabilise pas moins de

Lundi 27 janvier, les députés ont adopté en séance publique la proposition de loi sur la fraude aux aides publiques. Dans la version du texte ainsi votée, un amendement à l’article 3 de la proposition de loi vise à bouleverser le cadre du démarchage téléphonique.

En effet, le changement de paradigme, déjà évoqué dans nos précédents bulletins, est appelé des vœux des pouvoirs publics et devrait impliquer, s’il est voté, la suppression des inscriptions sur la liste BLOCTEL et la mise en place d’une nouvelle liste de consentement sur laquelle seuls ceux des consommateurs qui acceptent expressément d’être contactés figureront. Autrement dit : passage de l’opt-out à l’opt-in !

Par deux arrêtés publiés au Journal Officiel du 18 janvier, pris en application des décrets fixant au niveau réglementaire les régimes de prévoyance et de frais de santé dans la fonction publique d’Etat, sont apportées des précisions quant aux niveaux de participation des employeurs publics de l’Etat à la protection sociale complémentaire de leurs agents.

S’agissant du régime de frais de santé, il est ainsi défini que :

A compter du 1^er janvier 2025, la somme maximale qui peut directement être prélevée sur le compte bancaire du défunt pour pourvoir aux frais de ses obsèques augmente

Un arrêté du 19 décembre 2024 prévoit que désormais, à compter du 1^er janvier 2025, le montant de la cotisation forfaitaire à l’assurance maladie-maternité et invalidité des employeurs agissant pour le compte des travailleurs salariés et collaborateurs assimilés qu’elles emploient à l’étranger, sera systématiquement