Se rendre au contenu

Trois chantiers pour le DPO, AI Act, pixels CNIL, jurisprudence contractuelle

Préparez l'entrée en vigueur de l'AI Act

Le 2 août 2026 marquera l'entrée en application du corpus principal de l'AI Act. Ce jour-là, les obligations des déployeurs de systèmes à haut risque (Annexe III), les obligations de transparence (Art. 50) et l'enregistrement dans la base de données UE deviennent exécutoires.

Dans 26 jours, certains de vos systèmes d’IA devront être auditables, documentés, enregistrés… et défendables.

À ce stade, on ne “découvre” plus le texte. On ferme les trous.

Les systèmes à haut risque sont sous le microscope

L'Annexe III couvre huit domaines à haut risque : identification biométrique, infrastructures critiques, éducation et formation professionnelle, emploi et gestion des travailleurs, accès aux services essentiels, application de la loi, migration et asile, administration de la justice.

Pour chacun de ces systèmes, le 2 août 2026 représente une ligne rouge. Les déployeurs doivent être inscrits dans la base de données de l'UE et disposer d'un système de gestion des risques documenté et mis à jour (Art. 9).

Cela implique de tenir un journal de bord assurant traçabilité et auditabilité du système, de garantir la supervision humaine effective des décisions produites, et de veiller à la qualité des données d'entraînement ainsi qu'à l'absence de biais discriminatoires. La documentation technique du système doit rester conforme aux exigences des articles 11 et 12.

Note importante sur le périmètre : les systèmes intégrés dans des produits réglementés (dispositifs médicaux, jouets) relevant de l'Annexe I bénéficient d'un délai jusqu'au 2 août 2027. 
En revanche, les systèmes visés par l'Annexe II notamment biométrie dans certains secteurs et emploi/RH sont soumis à la deadline du 2 août 2026.

Les obligations de transparence prennent forme… et ce n’est pas si simple

L'article 50 s'applique à compter du 2 août 2026 et couvre quatre obligations distinctes, chacune répondant à des cas d'usage différents. 

Pour les chatbots et agents conversationnels, l'obligation consiste à informer l'utilisateur qu'il interagit avec une IA, sauf si cela est évident dans le contexte. Les systèmes de reconnaissance d'émotions et de catégorisation biométrique doivent informer les personnes exposées du fonctionnement du système. Les deepfakes sont soumis à une obligation de divulgation explicite que le contenu est généré ou manipulé artificiellement. Enfin, les contenus synthétiques doivent être marqués dans un format lisible par machine comme générés par IA.

Dans les faits, cela suppose :

  • d’identifier précisément les cas d’usage concernés,
  • de standardiser les messages d’information,
  • et surtout de les intégrer dans les parcours utilisateurs réels (interfaces, scripts, process métier).

C’est souvent là que ça bloque.

Réflexe à ne pas oublier : Intégrer l'AI Act au registre des traitements RGPD

Chaque système d'IA à haut rIntégrerisque qui traite des données personnelles doit faire l'objet d'une ligne dédiée dans le registre des traitements (Art. 30 RGPD). Cela ne signifie pas créer un registre parallèle, mais intégrer les lignes IA au sein de la documentation existante, en enrichissant les rubriques pertinentes : base légale spécifique à l'usage IA, catégories de données alimentant le modèle, logique du traitement automatisé, et mesures de supervision humaine.

L'article 27 de l'AI Act établit que l'analyse d'impact sur les droits fondamentaux (AI Act) s'ajoute à toute AIPD existante réalisée en vertu de l'article 35 RGPD, sans la remplacer.


Ce que change la recommandation CNIL sur les pixels e-mail

La recommandation définitive de la CNIL sur les pixels de suivi dans les courriels (délibération n° 2026-042 du 12 mars 2026) rebat les cartes du marketing par email. La qualification des pixels en traceurs soumis à l'Art. 82 de la loi Informatique et Libertés entraîne des mises à jour documentaires immédiates : registre des traitements, DPA avec les ESPs, politiques de confidentialité. Voici ce que le DPO doit avoir traité avant le 14 juillet 2026.

Le fondement juridique des pixels comme traceurs

La CNIL confirme, conformément à la position du Comité européen de la protection des données (CEPD), que les pixels de suivi insérés dans les courriels constituent des opérations de lecture sur le terminal de l'utilisateur. Ils sont donc soumis à l'article 82 de la loi Informatique et Libertés, qui transpose l'article 5 §3 de la directive ePrivacy. La base légale applicable est le consentement libre, spécifique, éclairé et univoque tel que défini aux articles 4 §11 et 7 du RGPD.

Un point crucial émerge de cette qualification : la CNIL précise expressément que le consentement à l'email n'emporte pas consentement au pixel. Les deux régimes de consentement sont indépendants. Un abonné à une newsletter n'a pas, par ce seul fait, consenti au tracking de l'ouverture de ses emails. Cette distinction aura un impact immédiat sur la gestion des consentements existants.

Les finalités qui exigent un consentement préalable

Plusieurs usages des pixels requièrent obligatoirement le consentement préalable : l'analyse et la mesure individuelle du taux d'ouverture à des fins marketing ou d'optimisation de campagnes ; la personnalisation de contenus ou de la pression marketing en fonction du comportement antérieur du destinataire ; le profilage comportemental des destinataires (constitution d'un profil de préférences basé sur les ouvertures et clics) ; le ciblage ou l'adressage sur d'autres canaux (afficher une publicité sur Facebook parce que l'utilisateur a ouvert un email) ; et la détection de fraude basée sur le comportement individuel.

Les exemptions strictement encadrées

La mesure de délivrabilité présente une exemption plus nuancée. Les pixels peuvent servir à identifier les adresses inactives ou invalides, mais uniquement pour des emails transactionnels ou rattachés à un service demandé, sans croisement avec d'autres données. Un email transactionnel est une confirmation de commande, un reçu ou une notification de colis. Cette exemption ne couvre pas les emails marketing : un pixel de tracking dans un email promotionnel reste soumis à consentement, même si la finalité déclarée est la mesure d'audience.

Les statistiques agrégées et anonymisées (taux global d'ouverture, A/B test sur l'objet, mesure par domaine) n'exigent pas de consentement, dès lors que l'anonymisation est effective et que les résultats ne permettent aucun lien traçable avec un individu.

Impact sur le registre des traitements (Art.30 RGPD)

Les lignes existantes relatives aux campagnes email doivent être révisées en profondeur sur quatre points. La base légale bascule de l'intérêt légitime vers le consentement (Art. 6 §1 a RGPD + Art. 82 LIL). 

La rubrique « Finalité » doit être fractionnée. L'envoi d'email relève de la relation commerciale, tandis que le tracking d'ouverture et le profilage comportemental relèvent du consentement pixel. Les catégories de données doivent intégrer les données comportementales remontées par le pixel (horodatage d'ouverture, appareil, adresse IP), et la durée de conservation doit s'aligner sur la durée de validité du consentement pixel potentiellement plus courte que celle de la relation client.

Une ligne dédiée « pixels de suivi » doit être créée séparément de la ligne « prospection email », et les transferts hors UE vérifiés pour chaque ESP concerné.

Ce que les DPA actuels ne couvrent pas

Les Data Processing Agreements (DPA) conclus avec Brevo, Mailchimp (Intuit), HubSpot ou tout autre ESP ont été négociés dans un contexte où les pixels n'étaient pas qualifiés de traceurs soumis à consentement. 

Résultat : les finalités de traitement des données de tracking ne sont souvent pas décrites,

  • les durées de conservation des données comportementales ne sont pas cadrées,
  • aucun mécanisme contractuel ne garantit que l’ESP peut ne pas insérer de pixel, ou le désactiver pour certains destinataires sans consentemen

Ces trois éléments manquants créent une non-conformité Art. 28 RGPD et la nécessité de rouvrir les DPA pour ajouter : description des finalités, clauses de conservation et engagement explicite sur la gestion du pixel en fonction des consentements.

Ce qu'il faut ajouter aux mentions d'information

Les mentions d'information (Art. 13 RGPD) adressées aux personnes dont l'email est collecté doivent être enrichies de plusieurs éléments nouveaux. La description explicite de l'utilisation de pixels de suivi dans les emails doit être présente, pas de formulation vague comme « technologies de suivi », mais une description claire du type « nous utilisons des pixels de tracking pour mesurer l'ouverture de nos emails ». Les finalités poursuivies par le pixel doivent être distinctes de la finalité d'envoi, la base légale applicable (le consentement) doit être explicitement indiquée, et les droits de retrait ainsi que les modalités d'exercice doivent figurer clairement. Le cas échéant, les transferts vers des sous-traitants ou des pays tiers doivent être communiqués de façon transparente.

Mise à jour des politiques de confidentialité

Les politiques de confidentialité publiées sur les sites web doivent être mises à jour en cohérence avec les mentions Art. 13. Si la politique fait l'objet d'une version datée, la mise à jour doit être documentée avec la date effective. Cette traçabilité est importante en cas de contrôle : pouvoir prouver que la politique mentionnait les pixels au moment où une personne a consenti renforce la démonstration de conformité.


Recueillir le consentement pixel dès la collecte de l'email

La CNIL recommande que le consentement au pixel soit recueilli au moment de la collecte de l'adresse email, dans le formulaire d'inscription, avec information claire sur les finalités. Le formulaire doit intégrer une case à cocher non pré-cochée, distincte de la case “j’accepte de recevoir la newsletter” ou “j’accepte les CGU”.

Une case pré-cochée est à proscrire : elle ne montre pas une volonté claire et affirmative, et expose à un rejet du consentement. Si plusieurs finalités coexistent (newsletter, offres partenaires, tracking pixel, etc.), mieux vaut proposer des cases séparées pour permettre des consentements granulaires.

Pour les adresses collectées avant le 14 avril 2026, la CNIL permet de continuer à utiliser le pixel à condition d'avoir informé les destinataires et leur avoir offert un droit d'opposition avant le 14 juillet 2026. Ce régime ne repose pas sur un consentement par silence. Il requiert une démarche active d'information, avec preuve d'envoi conservée. 

Pour les adresses collectées après le 14 avril 2026, le droit commun s'applique immédiatement : pas de pixel sans consentement préalable, aucune exemption transitoire. Tout formulaire créé après cette date doit intégrer une case pixel conforme, non pré-cochée et distincte des autres consentements.



Quand la non-conformité RGPD entraîne la nullité du contrat : analyse de l'arrêt Douai du 7 mai 2026

Un client avait confié à un prestataire informatique la création de son site web de paysagiste, assorti d'un contrat d'abonnement sur 48 mois. Insatisfait du résultat, il avait cessé le règlement des mensualités et fait constater par huissier que le site ne respectait pas le RGPD, notamment en matière de consentement préalable aux cookies publicitaires conformément à la directive ePrivacy. Condamné en première instance à payer les mensualités, le client a interjeté appel. La Cour d'appel de Douai a tranché en sa faveur : elle a infirmé le jugement de première instance, annulé le contrat et condamné le prestataire.

Le raisonnement juridique : l'erreur sur les qualités essentielles

Le cœur de la décision repose sur les articles 1132 et 1133 du Code civil, qui définissent l'erreur sur les qualités essentielles comme « celles qui ont été expressément ou tacitement convenues et en considération desquelles les parties ont contracté ». La cour a retenu que la conformité au RGPD constituait une qualité essentielle « tacitement convenue » entre les parties.

Le raisonnement est logique : un client qui confie la création de son site à un prestataire spécialisé peut légitimement s'attendre à ce que le site ne collecte pas illégalement des données personnelles. La conformité RGPD n'avait pas besoin d'être expressément stipulée dans le contrat pour constituer une exigence dont la méconnaissance vicie le consentement. Le mot « tacitement » est central à cette jurisprudence : la conformité RGPD apparaît non plus comme une obligation externe imposée par le régulateur, mais comme une composante intrinsèque de la prestation que le prestataire est raisonnablement tenu de fournir.

En quoi cet arrêt fait jurisprudence

L'arrêt de Douai ne surgit pas d'un vide jurisprudentiel. Il s'inscrit dans une série cohérente de décisions convergentes : la Cour d'appel de Grenoble (12 janvier 2023, RG n° 21/03701), la Cour d'appel de Bordeaux (13 mai 2025, RG n° 23/02044), et la Cour d'appel de Lyon (mars 2026) avaient déjà adopté le même fondement et la même solution.

On voit désormais quatre cours d’appel converger vers un même principe opérationnel : la conformité RGPD fait partie intégrante de la qualité attendue d’un livrable numérique. Un site, un logiciel ou un service numérique non conforme est juridiquement défectueux, indépendamment de toute clause contractuelle expresse.

Pour un DPO, cela change la façon d’aborder les contrats : la conformité devient un élément de qualification du défaut, pas seulement un risque de sanction administrative.

Le renversement de la charge de la preuve

L'arrêt met à la charge du prestataire spécialisé une obligation de délivrance d'un produit légalement conforme. Le client n'a pas à prouver que la conformité a été contractuellement stipulée, il suffit de démontrer qu'il était raisonnable d'attendre cette conformité d'un professionnel de la création web ou de l'édition logicielle. Cette logique s'étend potentiellement à tout prestataire se présentant comme spécialiste du numérique (éditeur SaaS, intégrateur, agence digitale) dès lors que le livrable traite des données personnelles.

Implications pratiques pour le DPO

Renforcement des clauses DPA (Art. 28 RGPD)

L'arrêt de Douai démontre que s'appuyer sur la seule jurisprudence comme filet de sécurité est insuffisant. La nullité prononcée peut être utile au client final, mais elle reste longue et incertaine à obtenir. Le DPO doit transformer cet enseignement jurisprudentiel en clauses contractuelles explicites dans les DPA.

La clause de garantie de conformité RGPD doit stipuler que tout livrable respecte les exigences du RGPD et de la loi Informatique et Libertés à la date de livraison, formulée en obligation de résultat et non en obligation de moyens.

La clause d'audit de conformité doit conférer au responsable de traitement le droit de faire auditer la conformité du livrable avant réception définitive, avec droit de rétention du solde en cas de non-conformité constatée.

La clause de mise en conformité corrective doit imposer un délai contractuel au prestataire pour corriger toute non-conformité identifiée post-livraison, assorti d'une astreinte en cas de dépassement.

La clause résolutoire doit stipuler que la non-conformité RGPD non corrigée dans le délai imparti constitue un manquement essentiel autorisant la résolution du contrat sans attendre une décision judiciaire.

Systématisation des audits de conformité fournisseurs

L'arrêt fonde un argument opérationnel solide pour imposer des audits de conformité préalables à la réception de tout livrable numérique.

Le DPO doit intégrer dans les processus de validation des projets informatiques un contrôle RGPD à la livraison portant sur cinq domaines critiques : le recueil et la gestion du consentement (cookies, bandeau, droit de retrait); la présence et la complétude des mentions Art. 13 RGPD dans les formulaires et la politique de confidentialité; la sécurité des données transmises et stockées (chiffrement, authentification multifacteur, sauvegardes); l'existence d'une interface d'exercice des droits des personnes (accès, rectification, suppression); et la cartographie des transferts vers des sous-traitants tiers ou hors UE.

Ce contrôle doit être documenté et consigné dans le dossier de projet.

Nouveau levier interne pour imposer la conformité

La jurisprudence Douai offre au DPO un argument de direction pour imposer la conformité RGPD dès la phase de conception et de sélection des prestataires. Jusqu'ici, la conformité était souvent perçue comme une contrainte réglementaire optionnelle dans les appels d'offres. Elle devient désormais un critère de sélection juridiquement fondé : choisir un prestataire sans garantie de conformité expose l'organisation à un risque contractuel documenté par la jurisprudence, susceptible de déboucher sur la nullité d'un contrat pluriannuel. Le DPO peut s'appuyer sur cet arrêt pour exiger l'intégration de critères RGPD dans les grilles d'évaluation des appels d'offres, justifier son intervention dans les phases de recettage comme élément de validation obligatoire, et imposer une checklist de conformité RGPD comme condition contractuelle de paiement du solde.