Par un arrêt du Conseil d’Etat du 30 juillet 2025 (n°495234), il a été jugé que la redirection, même temporaire, de l’intégralité de ses mails professionnels vers une messagerie personnelle était constitutif d’un manquement susceptible d’entraîner le licenciement d’un salarié, quand bien même, celui-ci serait un salarié protégé.
Dans la présente affaire, la salariée en question occupait un poste de data manager, par ailleurs, investie de fonctions représentatives du personnel. Au regard des attributions de la salariée et de son contrat de travail, le Conseil d’Etat a considéré qu’elle s’était engagée à prendre les précautions nécessaires pour préserver la confidentialité et la sécurité des données personnelles qu’elle traitait dans le cadre de son emploi. La redirection de l’intégralité de sa messagerie électronique vers une adresse personnelle était susceptible de compromettre des données personnelles des usagers, ce à quoi la salariée, eu égard à ses fonctions, était particulièrement sensibilisée.
L’absence d’intention malveillante de la salariée n’a rien changé à la position de la Cour.
Le 31 juillet 2025, le Conseil d’Etat a rendu une décision en matière de protection des données personnelles concernant la SNCF (décision n°452850). Désormais, renseigner sa civilité (« Madame », « Monsieur ») lors de l’achat de billets de train ou de cartes de fidélité sur la plateforme SNCF Connect ne sera plus imposé.
Cette décision annule la décision de rejet de réclamation rendue par la CNIL, du 23 mars 2021, à l’encontre d’une association de défense des droits LGBTQI+.
Cette dernière reprochait à la SNCF l’absence de licéité de traitement en imposant d’indiquer sa civilité, les choix étant réduits à « Madame » ou « Monsieur ». La CNIL clôturant la plainte de l’association, celle-ci avait alors saisi le Conseil d’Etat, lequel avait alors interrogé la Cour de justice de l’Union européenne (CJUE) sur l’interprétation du RGPD. La CJUE s’est prononcée sur les questions posées par un arrêt du 9 janvier 2025 (aff. C-394/23).
Sur la base de la position de la CJUE, le Conseil d’Etat en a donc conclu que
Mi-juillet 2025, le Health Data Hub (“HDH”) a enrichi son starter kit d’accompagnement à la demande d’autorisation CNIL de nouveaux outils pédagogiques. Ainsi, pour aider les porteurs de projet à vérifier s’ils peuvent justifier la conformité à une méthodologie de référence (« MR »), des checklists détaillées sont proposées par le HDH.
Chaque checklist permet au porteur de projet de passer en revue, point par point, les exigences à respecter. En cas d’écart, cette checklist sera utile pour faciliter l’instruction de la CNIL en mettant en évidence les non-conformités.
Afin d’identifier la checklist adaptée au projet, un arbre décisionnel est également mis à disposition.
Désormais, la checklist devient une pièce constitutive du dossier de soumission. Elle devra donc être complétée et jointe au dossier transmis au HDH. Pour les porteurs de projets ayant déjà initié leur demande d’autorisation, une période de tolérance est accordée jusqu’à la séance du CESREES du 6 novembre 2025.
A l’issue de cette période, l’absence de ce document constituera un motif de non-complétude du dossier.
Publié au Journal officiel du 24 août 2025, le décret n°2025-840 relatif à la protection des informations relatives au domicile de certaines personnes physiques mentionnées au registre du commerce et des sociétés permet, à leur demande et via le guichet, l’occultation des adresses personnelles des personnes physiques dirigeantes et associés indéfiniment responsables de personnes morales figurant au registre du commerce et des sociétés.
Jusqu’à présent, lors de la demande d’immatriculation au Registre du commerce et des sociétés (« RCS »), les mandataires sociaux, les associés indéfiniment responsables et les commissaires aux comptes (« CAC ») devaient renseigner notamment leur adresse personnelle. Seuls les CAC pouvaient déclarer une adresse professionnelle à la place de leur adresse personnelle. Ses informations renseignées étaient rendues publiques.
Désormais, si l’information du domicile personnel doit toujours être renseignée, une demande d’occultation peut être faite, à tout moment, via le guichet unique, le greffier disposant alors de 5 ouvrables pour traiter la demande. En cas d’absence de traitement de la demande dans ce délai, le demandeur peut saisir le juge commis à la surveillance du registre.
Toutefois, certains acteurs conservent un accès complet aux adresses personnelles, celles-ci n’étant pas supprimées mais seulement occultées :
Ce décret répond à une exigence de protection de la vie privée des dirigeants demandée depuis plusieurs années.
Vous souhaitez des précisions ou un accompagnement personnalisé, notre cabinet d’avocats est à votre écoute pour vous aider à y voir plus clair.