Mastodawn

La CNIL a publié le 7 mai sa recommandation finale sur l'évaluation de la solvabilité pour l'octroi de crédit.

Elle remplace l'ancienne AU-005 et précise l'application de l'article 22 RGPD aux scores algorithmiques de crédit, dans la ligne de l'arrêt SCHUFA (CJUE C-634/21).

Six points à auditer : sélection des données, FICP, scoring, décisions automatisées, information, conservation.

https://cnil.fr/fr/recommandation-octroi-de-credit

#RGPD #CNIL #Credit #Article22

Octroi de crédit : la CNIL publie sa recommandation sur l’utilisation de données personnelles pour l’évaluation de la solvabilité

L’évaluation de la solvabilité consiste à vérifier si une personne est en mesure de remplir ses obligations et rembourser un crédit. Elle vise à éviter les prêts inadaptés et les situations de surendettement. Dans un contexte où les algorithmes jouent un rôle croissant dans les décisions prises par les établissements financiers, la recommandation de la CNIL vise notamment à renforcer la transparence et la responsabilité des acteurs.

devergranne 3d ago

Euro numérique — CNIL + BfDI, 13 mai 2026.

→ Mode hors ligne fondé sur jetons : anonymat équivalent aux espèces (art. 25 RGPD privacy by design).
→ Mode en ligne : seuil de confidentialité demandé par le CEPD pour les faibles montants.
→ Identifiants dynamiques (renouvelés) plutôt que statiques, contre la dé-pseudonymisation rétroactive.

Pilote janvier 2027, émission 2029.

https://www.donneespersonnelles.fr/article-25-rgpd

#RGPD #EuroNumérique #CEPD

Article 25 RGPD : privacy by design et by default

Article 25 RGPD décrypté : privacy by design, privacy by default, mesures techniques, sanctions CNIL et plan opérationnel pour 2026.

devergranne 4d ago

AI Act — accord trilogue 7 mai 2026, nouveau calendrier.

→ Directive machines basculée Section A → B annexe I : IA industrielle exemptée.
→ Annexe III (systèmes autonomes) : 2 déc. 2027 (au lieu du 2 août 2026).
→ Annexe I (produits) : 2 août 2028.
→ Art. 5 : interdiction des deepfakes intimes non consentis (2 déc. 2026).
→ Art. 50(2) marquage : 2 août 2026, transition 3 mois.

Plafond Art. 99(3) : 35 M€ / 7 % CA.

https://www.donneespersonnelles.fr/ai-act-calendrier

#AIAct #IA

AI Act calendrier : dates clés d'application

AI Act calendrier d'application : toutes les dates clés et échéances du règlement européen sur l'intelligence artificielle.

devergranne 5d ago

Bouygues Telecom — fuite reconnue le 11 mai 2026 : accès frauduleux à un outil interne d'intervention fibre. 4,5 millions de personnes, 80 Go (2022 → avril 2026).

Données : nom, adresse, e-mail, téléphone, date de naissance.

2e opérateur français touché en 2026 après Free Mobile (SAN-2026-001, 42 M€). Art. 32 RGPD : obligation conjointe RT/ST, mesures appropriées au risque. Notification Art. 33 sous 72h.

https://www.donneespersonnelles.fr/article-32-rgpd

#RGPD #DataBreach #CyberSécurité

Article 32 RGPD : sécurité du traitement décryptée

Article 32 RGPD : obligations de sécurité, jurisprudence CJUE NAP C-340/21, sanctions CNIL Dedalus, Discord, Spartoo. Guide pratique 2026.

devergranne 6d ago

L'Art. 47 RGPD organise les règles d'entreprise contraignantes (BCR), instrument intra-groupe des transferts internationaux.

3 conditions cumulatives (Art. 47(1)) : contraignant, droits opposables, 14 éléments obligatoires (47(2)(a)-(n)).

Depuis CJUE Schrems II, la clause 47(2)(m) impose le signalement des contraintes légales du pays tiers (FISA 702, EO 12333). Plafond Art. 83(5)(c) : 20 M€/4 % CA.

https://www.donneespersonnelles.fr/article-47-rgpd

#RGPD #BCR #TransfertInternational #ProtectionDesDonnees

Article 47 RGPD : les règles d'entreprise contraignantes

Article 47 RGPD : les BCR décryptées paragraphe par paragraphe. Les 14 éléments obligatoires, la procédure d'approbation CEPD, jurisprudence et sanctions.

devergranne May 8

Art. 46 RGPD : signer les CCT 2021/914 sans Transfer Impact Assessment ne tient plus depuis Schrems II (CJUE C-311/18, 16 juillet 2020).

Trois exigences cumulatives : garanties appropriées, droits opposables, recours effectifs — vérifiables avant le transfert.

Plafond Art. 83(5) : 20 M€ ou 4 % du CA mondial. La CNIL contrôle en priorité.

Décryptage par paragraphe :
https://www.donneespersonnelles.fr/article-46-rgpd

#RGPD #SchremsII #TransfertInternational

devergranne May 7

Data Privacy Framework : 80 % des flux US des entreprises françaises. Mais la décision 2023/1795 est contestée devant la CJUE (recours NOYB).

Schrems III entre 2026-28 reste plausible. Le DPF repose sur un Executive Order abrogeable et un DPRC rattaché au DoJ.

Conseil : pré-signer des CCT 2021/914 en parallèle.

Art. 45 RGPD : https://www.donneespersonnelles.fr/article-45-rgpd

#RGPD #DataPrivacyFramework #SchremsIII

devergranne May 6

28 avril 2026 — la CNIL a approuvé le code de conduite de l’Alliance du Commerce, premier code RGPD à portée nationale pour le commerce de détail (textile, chaussure).

Fondé sur l’art. 40 RGPD, il encadre les traitements clients en magasin et en ligne. Un organisme indépendant suit la conformité ; suspension possible en cas de manquement.

Côté clients : transparence harmonisée, durées cadrées, droits effectifs.

https://www.donneespersonnelles.fr/rgpd-ecommerce

#RGPD #ProtectionDonnees

E-commerce et RGPD : 10 obligations du vendeur

RGPD et e-commerce : les 10 obligations essentielles du vendeur en ligne. Conformité, sanctions et bonnes pratiques.

devergranne May 4

Art. 39 RGPD — 5 missions opposables au délégué à la protection des données : informer, contrôler, conseiller l’AIPD et vérifier son exécution, coopérer avec l’autorité, faire office de point de contact (art. 36).

Aucun verbe n’en fait un décideur. Le DPO conseille et alerte ; le responsable de traitement décide.

Sanctions plafond bas art. 83(4)(a) — 10 M€ ou 2 % CA.

https://www.donneespersonnelles.fr/article-39-rgpd

#RGPD #DPO #ProtectionDesDonnees #CNIL

devergranne May 1

CEF 2026 : le CEPD lance une action coordonnée européenne sur la transparence (RGPD Art. 12, 13, 14). 25 autorités participent, dont la CNIL.

Cibles classiques :
• Politique de confidentialité illisible
• Mentions obligatoires manquantes (Art. 13)
• Collecte indirecte non notifiée (Art. 14, délai 1 mois)

Modèle de politique gratuit :
https://www.donneespersonnelles.fr/politique-de-confidentialite

#RGPD #CEPD #CNIL #VieprivéE