Skip to Content
RGPDPartie 2 — Cadre légal, CNIL & sanctions2.5 — Jurisprudence & évolutions

Chapitre 2.5 — Jurisprudence & évolutions

⏱️ TL;DR — Le RGPD est un texte vivant : ce sont les juges qui en précisent le sens, et le droit bouge. Deux jurisprudences à connaître par cœur : Schrems (I puis II — invalidation du Safe Harbor puis du Privacy Shield, avec obligation d’analyser chaque transfert) et Planet49 (une case pré-cochée ne vaut pas consentement). Côté 2026, le paysage remue : le Data Privacy Framework UE–États-Unis est en vigueur mais fragile (recours Latombe rejeté en 1re instance, appel pendant), le Digital Omnibus promet de simplifier le RGPD (mais ce n’est qu’une proposition), et l’AI Act se combine désormais au RGPD. Règle d’or : apprends et code sur le droit EN VIGUEUR, et signale ce qui vient sans construire dessus.

🎯 Objectifs

  • Citer les arrêts structurants (Schrems I & II, Planet49) et ce qu’ils ont changé.
  • Distinguer, dans l’actualité 2026, ce qui est en vigueur de ce qui n’est qu’une proposition.
  • Situer le Data Privacy Framework et comprendre pourquoi il reste fragile.
  • Adopter la bonne posture : droit applicable d’abord, veille ensuite.

La jurisprudence qui a fait le droit

Le RGPD (et avant lui la directive de 1995) est interprété par la Cour de justice de l’Union européenne (CJUE). Ses arrêts ne sont pas des commentaires : ils font le droit applicable. Trois décisions ont un impact direct sur ton quotidien de dev.

ArrêtCe qu’il a tranchéConséquence pratique
Schrems IInvalide le Safe Harbor, l’ancien accord de transfert UE–États-UnisOn ne peut plus s’appuyer sur un accord global présumé suffisant
Schrems II (C-311/18, 16 juillet 2020)Invalide le Privacy Shield ; maintient les CCT mais impose une analyse d’impact du transfert au cas par casUn transfert hors UE ne se présume jamais : il se documente
Planet49 (C-673/17)Une case pré-cochée ne vaut pas consentementLe consentement exige un acte positif clair ; interdiction des cases cochées d’avance

📚 Le texteSchrems II (CJUE, affaire C-311/18, 16 juillet 2020) est l’arrêt de référence sur les transferts : il invalide le Privacy Shield et confirme que les clauses contractuelles types (CCT) ne suffisent pas seules — il faut vérifier, transfert par transfert, que le pays de destination offre une protection équivalente (l’analyse d’impact du transfert, ou TIA). Planet49 (C-673/17) fonde, lui, l’exigence d’un consentement actif : on y reviendra en détail en Partie 7 (consentement & cookies).

🔒 Côté personne concernée — Planet49, vu du côté de l’utilisateur, c’est une victoire concrète : la case « J’accepte » déjà cochée quand la page s’affiche ne compte pour rien. Pour qu’il y ait consentement, c’est la personne qui doit agir — cocher, cliquer, activer. Le silence, l’inertie ou une case pré-remplie ne valent pas accord. C’est ce qui rend illégales les vieilles bannières « en continuant, vous acceptez ».

Le paysage 2026 : ce qui est en vigueur, ce qui vient

Ici, la rigueur est vitale : on n’enseigne pas — et on ne code pas — sur un texte qui n’existe pas encore. Trie systématiquement entre droit applicable et projet.

SujetStatutÀ retenir
Data Privacy Framework (UE–États-Unis)EN VIGUEUR (décision d’adéquation du 10 juillet 2023) — mais fragileLes transferts vers des entreprises US certifiées sont couverts ; recours Latombe rejeté par le Tribunal de l’UE le 3 septembre 2025, appel pendant devant la CJUE
AI Act (règlement 2024/1689)EN VIGUEUR depuis le 1er août 2024, application par paliersSe combine au RGPD dès qu’un système d’IA traite des données personnelles
Digital OmnibusPROPOSITION de la Commission du 19 novembre 2025Simplifier le RGPD (AIPD harmonisées, refus des demandes « abusives », cookies déplacés vers le RGPD, consentement « 1-clic » valable 6 mois). Pas en vigueur — à suivre
Règlement ePrivacyPROPOSITION (bloquée depuis 2017)Ce sont toujours la directive de 2002 et l’art. 82 de la loi I&L qui régissent les cookies aujourd’hui

Le Data Privacy Framework : valide, mais à surveiller

Après l’invalidation du Privacy Shield (Schrems II), l’UE et les États-Unis ont négocié un nouvel accord : le Data Privacy Framework (DPF), reconnu par une décision d’adéquation de la Commission le 10 juillet 2023. Concrètement, transférer des données vers une entreprise américaine certifiée DPF est aujourd’hui licite, sans CCT supplémentaires.

Mais l’histoire des accords précédents invite à la prudence : le recours Latombe, qui contestait le DPF, a été rejeté par le Tribunal de l’UE le 3 septembre 2025 — sauf qu’un appel est pendant devant la CJUE. Autrement dit, le cadre est valide aujourd’hui, mais son sort à moyen terme n’est pas garanti.

💡 RéflexeCeinture et bretelles. Même si ton prestataire US est certifié DPF, garde les clauses contractuelles types (CCT) et l’analyse d’impact du transfert (TIA) en filet de sécurité. Si le DPF venait à tomber sur appel — comme sont tombés le Safe Harbor puis le Privacy Shield — tu ne te retrouverais pas du jour au lendemain en transfert illicite. On détaille ce montage en Partie 13.

⚠️ Piège — Construire aujourd’hui sur le Digital Omnibus. « On pourra bientôt refuser les demandes abusives / le consentement 1-clic sera valable 6 mois » : non, pas encore. Le Digital Omnibus n’est qu’une proposition du 19 novembre 2025 (adoption visée vers fin 2026, effet espéré vers 2027-2028). Coder ou rédiger tes procédures sur un texte non adopté, c’est bâtir sur du sable. Tu appliques le droit en vigueur ; tu surveilles le reste.

🧭 Sur FormaCampus — FormaCampus s’appuie sur des sous-traitants américains (hébergement, e-mailing, et un modèle d’IA pour l’aide et la correction). Bonne nouvelle : s’ils sont certifiés DPF, ses transferts sont aujourd’hui couverts. Réflexe pro quand même : conserver CCT + TIA au cas où l’appel Latombe ferait tomber le cadre, et surveiller deux chantiers — le Digital Omnibus (qui pourrait déplacer les règles cookies vers le RGPD) et l’AI Act (qui s’ajoute au RGPD pour son IA de correction). Elle enseigne à ses équipes le droit d’aujourd’hui, tout en gardant un œil sur demain.

✏️ Exercices

Exercice 1 — En vigueur ou proposition ? Classe : (a) le Data Privacy Framework ; (b) le Digital Omnibus ; (c) l’AI Act ; (d) le règlement ePrivacy. Pour chacun, dis si tu peux construire dessus aujourd’hui.

✅ Solution

(a) En vigueur (adéquation du 10 juillet 2023) — tu peux t’y appuyer, mais il est fragile (appel Latombe), donc garde CCT + TIA. (b) Proposition (19 novembre 2025) — ne construis pas dessus, surveille. (c) En vigueur (règlement 2024/1689, depuis le 1er août 2024, application par paliers) — applicable, il se combine au RGPD. (d) Proposition bloquée depuis 2017 — non : ce sont la directive de 2002 et l’art. 82 de la loi I&L qui régissent les cookies aujourd’hui.

Exercice 2 — La bannière de FormaCampus. Un dev propose une bannière cookies avec la case « Accepter les cookies de mesure d’audience » déjà cochée à l’affichage, « pour simplifier ». Quel arrêt invoques-tu, et que corriges-tu ?

✅ Solution

L’arrêt Planet49 (C-673/17) : une case pré-cochée ne vaut pas consentement. Le consentement exige un acte positif clair de la personne. Correction : la case doit être décochée par défaut, et l’utilisateur doit agir pour l’activer — refuser devant être aussi simple qu’accepter (recommandation cookies de la CNIL). La bannière « en continuant, vous acceptez » est du même tonneau : illégale.

Exercice 3 — Le transfert vers l’hébergeur américain. FormaCampus veut héberger chez un prestataire US certifié DPF. Un collègue conclut : « Certifié DPF, donc rien d’autre à faire. » Nuance ?

✅ Solution

Le transfert est licite aujourd’hui grâce à la décision d’adéquation DPF (10 juillet 2023) : sur le principe, le collègue a raison à l’instant T. Mais le DPF est fragile — recours Latombe rejeté en 1re instance le 3 septembre 2025, appel pendant devant la CJUE, dans la lignée du Safe Harbor et du Privacy Shield déjà tombés. Réflexe pro : garder CCT + TIA en filet, pour ne pas basculer en transfert illicite si le cadre tombe. « Certifié DPF » n’exonère pas de la prudence.

🧠 Quiz de révision

1. Qu’ont tranché les arrêts Schrems I et II ?

Schrems I a invalidé le Safe Harbor ; Schrems II (C-311/18, 16 juillet 2020) a invalidé le Privacy Shield. Schrems II maintient les clauses contractuelles types mais impose, pour chaque transfert hors UE, une analyse d’impact du transfert (TIA) au cas par cas. Un transfert ne se présume jamais : il se documente.

2. Que dit l’arrêt Planet49 ?

Qu’une case pré-cochée ne constitue pas un consentement valable (CJUE, C-673/17). Le consentement doit résulter d’un acte positif clair de la personne. C’est le fondement de l’interdiction des cases cochées d’avance et des bannières « en continuant, vous acceptez ».

3. Le Data Privacy Framework est-il en vigueur ? Est-il solide ?

Oui, en vigueur : décision d’adéquation UE–États-Unis du 10 juillet 2023, qui couvre les transferts vers les entreprises US certifiées. Mais fragile : le recours Latombe a été rejeté par le Tribunal de l’UE le 3 septembre 2025, avec un appel pendant devant la CJUE. Prudence : garder CCT + TIA en filet.

4. Le Digital Omnibus est-il applicable aujourd’hui ?

Non. C’est une proposition de la Commission du 19 novembre 2025 (simplification du RGPD : AIPD harmonisées, refus des demandes abusives, cookies déplacés vers le RGPD, consentement « 1-clic » valable 6 mois). Adoption visée vers fin 2026, effet espéré vers 2027-2028. On le surveille, on ne construit pas dessus.

5. Quel est le lien entre l’AI Act et le RGPD ?

L’AI Act (règlement 2024/1689, en vigueur depuis le 1er août 2024, application par paliers) encadre les systèmes d’IA. Il ne remplace pas le RGPD : il s’y combine. Dès qu’un système d’IA traite des données personnelles, les deux textes s’appliquent ensemble.


Partie suivante : Partie 3 — Acteurs & rôles — responsable de traitement, sous-traitant, DPO, autorités : qui fait quoi, et qui est responsable de quoi dans la chaîne.

Last updated on