Le 11 septembre 2025, le Comité européen de la protection des données (CEPD) a adopté des lignes directrices relatives à l’articulation entre le Digital Services Act (DSA) et le Règlement général sur la protection des données (RGPD). Ces lignes directrices clarifient comment les obligations du DSA impliquant un traitement de données à caractère personnel doivent être interprétées et appliquées à la lumière du RGPD.
Publicité, recommandations et interfaces : un contrôle accru des usages
Publicité sensible : une interdiction absolue
Le CEPD confirme que l’interdiction prévue à l’article 26(3) DSA est totale : aucune base légale du RGPD (même un consentement explicite de la personne concernée, au sens de l’article 9(2)(a) RGPD) ne peut justifier l’utilisation de données sensibles au sens du RGPD (la santé, la religion, l’orientation sexuelle, etc.) pour du ciblage publicitaire.
Les plateformes doivent donc cartographier leurs flux de données en matière de publicité pour vérifier qu’aucune donnée sensible n’est utilisée, et, le cas échéant, désactiver complètement tout mécanisme publicitaire reposant sur des données sensibles.
Systèmes de recommandation : neutralité et effectivité de l’option sans profilage
Pour rappel, le DSA impose aux plateformes en ligne de laisser aux utilisateurs une option de recommandation sans profilage (article 27 et 38 DSA). Le CEPD précise deux points clés :
- Cette option de recommandation doit être présentée de façon neutre, sans manipulation d’interface ;
- Cette option doit avoir un effet réel : une fois choisie, aucune donnée ne peut continuer à être collectée en arrière-plan pour alimenter des profils.
En pratique, cela doit inciter les plateformes à auditer les interfaces de leurs sites web pour vérifier que l’option non profilée est accessible et mise en avant de manière équitable.
Il conviendra également pour ces plateformes de se ménager une preuve technique que les données cessent d’être collectées lorsque le mode sans profilage est activé.
Dark patterns : du design trompeur à la violation du RGPD
L’article 25 DSA prohibe les interfaces trompeuses (dark patterns). Dans ces lignes directrices, le CEPD ajoute que lorsque ces interfaces concernent des choix liés aux données personnelles, elles violent également le RGPD, notamment les règles sur le consentement éclairé de la personne concernée prévues à l’article 6(4) RGPD.
Les plateformes doivent redoubler de vigilance dans la conception du parcours utilisateur. Par exemple, une interface qui “forcerait la main” de l’utilisateur pour accepter les cookies est désormais sanctionnable doublement : une fois au titre du DSA ; une seconde fois au titre du RGPD.
Mineurs, risques systémiques et gouvernance : un cadre plus protecteur et exigeant
Protection des mineurs : double verrou sur la publicité et la vérification d’âge
L’article 28 DSA interdit le profilage publicitaire des mineurs. Au travers de ces lignes directrices, le CEPD renforce cette disposition en rappelant des points essentiels :
- Aucune base légale du RGPD ne peut justifier le profilage publicitaire des mineurs. L’interdiction vaut aussi pour les inférences permettant d’identifier indirectement un mineur (ex. historique de navigation révélant la tranche d’âge).
- Si les plateformes doivent mettre en place des mécanismes d’“âge assurance”, ces mécanismes doivent être conçues de façon à respecter la vie privée dès la conception. Ils doivent, en outre, rester proportionnés et minimiser les données traitées (pas de conservation durable des dates de naissance, pas de copie permanente de documents d’identité).
Les plateformes destinées aux jeunes publics doivent donc revoir leurs modèles publicitaires et exclure toute forme de personnalisation fondée sur le profilage. Elles doivent également valider les solutions de vérification d’âge en s’assurant qu’elles n’entraînent ni une collecte excessive, ni une conservation durable des données à caractère personnel.
Risques systémiques et analyses d’impact (DPIA)
Pour les très grandes plateformes en ligne, le DSA impose des évaluations de risques (articles 34 et 35 DSA). Le CEPDrappelle que ces évaluations déclenchent souvent une analyse d’impact au sens de l’article 35 du RGPD.
Les analyses d’impact deviennent ainsi quasi systématiques pour tout service de grande ampleur reposant sur la modération, la publicité ou les systèmes de recommandation.
Coopération interrégulateurs et gestion des contrôles
Le CEPD insiste sur la coopération entre Coordinateurs des services numériques (DSA) et autorités de protection des données (RGPD).
Les entreprises doivent donc anticiper des contrôles croisés et des enquêtes parallèles et mettre en place une gouvernance centralisée capable de répondre à deux régulateurs différents (parfois simultanément).
Les lignes directrices du CEPD ne créent pas de nouvelles obligations, mais elles resserrent fortement l’interprétation des règles existantes. Cet article ne se veut pas exhaustif. Nous invitons donc nos lecteurs à consulter ces lignes directrices pour avoir une vision complète des recommandations faites par le CEPD.