RGPD, IA, ciblage : les 5 actualités data de l’été 2025 

L’été 2025 a été marqué par une série de régulations qui viennent rebattre les cartes de la data. Plus qu’une affaire juridique, ces évolutions transforment en profondeur la manière dont les marques exploitent, activent et sécurisent la data.

Les volumes explosent, les outils se complexifient, les attentes en matière de transparence augmentent et les sanctions aussi. Dans ce contexte, le pilotage de la performance marketing ne peut plus faire l’impasse sur la conformité. C’est un sujet business, et pas uniquement technique.

Alors que faut-il retenir de l’actualité réglementaire de l’été 2025 ? Et surtout : quelles conséquences pour les équipes analytics, marketing, produit ou data ? Notre expert, Léo Combe, Consultant Analytics chez Bespoke, revient sur 5 actualités qu’il ne fallait pas manquer.

Les 5 actualités data et analytics

1. Amende record pour TikTok

Le 4 juillet 2025, TikTok s’est vu infliger une sanction record de 530 millions d’euros par l’autorité irlandaise de protection des données (DPC). En cause : des transferts illégaux de données d’utilisateurs européens vers la Chine, sans garanties suffisantes, en violation de l’article 46 du code RGPD. À cela s’ajoute une violation de l’obligation de transparence (article 13) pour ne pas avoir correctement informé les utilisateurs de ces envois de données.

Au-delà du montant, c’est la portée de la décision qui retient l’attention : le DPC impose également à TikTok de suspendre ces flux hors EU dans un délai de six mois, sauf mise en conformité.

Pour les entreprises opérant à l’international, cette décision illustre la montée en puissance d’une exigence : pouvoir démontrer à tout moment la licéité et la traçabilité de ses transferts de données. Le Privacy Shied 2.0 ne suffit pas toujours. Les clauses contractuelles types doivent être complétées par des mesures techniques et une documentation solide.

2. Allègement RGPD pour les PME

Le 21 mai 2025, la Commission européenne a présenté une proposition de réforme dans le cadre du paquet “Omnibus IV”, visant à simplifier certaines obligations RGPD pour les petites structures. Le principal changement ? Le relèvement du seuil d’exemption du registre des traitements : de 250 à 750 salariés.

L’idée avec cette proposition est d’alléger la charge administrative pour les entreprises qui traitent peu de données sensibles ou à risques. Les traitements à fort impact (géolocalisation, scoring, profilage..) resteraient soumis à l’obligation de registre et, le cas échéant, à une analyse d’impact.

L’EDPB/EDPS soutient cette initiative en demandant des garde-fous pour ne pas diminuer la protection. Pour les PME, cette réforme peut être une opportunité d’ajuster les efforts de conformité à leur réalité opérationnelle. Mais attention à ne pas confondre simplification et relâchement : consentement, base légale, minimisation, sécurité… les grands principes du RGPD continuent de s’appliquer.

3. Ciblage politique encadré dès octobre 2025

À partir du 15 octobre 2025, un nouveau règlement européen sur la transparence du ciblage politique entre en vigueur. En complément du RGPD, ce texte impose des règles strictes pour encadrer la publicité à visées électorale ou partisane.

Parmi les obligations clés :

• Consentement explicite requis pour tout ciblage personnalisé
• Interdiction de profiler les mineurs ou d’utiliser des données sensibles (opinions politiques, religion, origine, etc.)
• Collecte directe des données et tenue d’un registre spécifique
• Mentions de transparence obligatoires sur chaque publicité diffusée

Ce nouveau cadre marque un tournant pour les acteurs du marketing politique… mais pas seulement. Il préfigure une évolution plus large des pratiques publicitaires avec des exigences qui pourraient demain s’appliquer à d’autres secteurs sensibles (santé, finances, jeunesse…)

4. IA et AI Act : du code de conduite au cadre règlementaire

Le 10 juillet dernier, la Commission européenne a publié le premier code de conduite IA destiné aux fournisseurs de modèle dits “généraux” comme les LLM (Large Language Models), moteurs de réponse ou agents conversationnels. Ce code, encore volontaire, anticipe l’entrée en vigueur du AI ACt le 2 aout 2025. 

Ce code couvre plusieurs dimensions clés dont la documentation technique, la transparence algorithmique, le respect du droit d’auteur ou encore la garantie de sécurité. 

Si OpenAI s’est dit prêt à adhérer, Meta a publiquement refusé. Pour les marques, cela signifie que l’usage d’outils IA, que ce soit pour personnaliser un email, optimiser une campagne ou produire du contenu, va devoir s’accompagner de garantie sur la source, la transparence et le pilotage des modèles.

5. Harmonisation des enquêtes RGPD : Coopération renforcée

Juin 2025 a marqué un tournant discret, mais décisif dans la gouvernance du RGPD à l’échelle européenne. Un accord politique entre le Conseil de l’UE et le Parlement acte la mise en place d’un cadre procédural harmonisé pour le traitement des plaintes transfrontalières. 

Concrètement, cela signifie :

• Un délai standard de 15 mois (prolongeable de 12 mois) pour clôturer une enquête RGPD impliquant plusieurs autorités
• Une procédure simplifiée de 12 mois quand les autorités coopèrent étroitement
• Un droit renforcé d’être entendu pour les plaignants et les entreprises concernées à chaque étape
• Un mécanisme accéléré si l’entreprise corrige rapidement les manquements constatés

L’objectif est clair : en finir avec les enquêtes sans fin qui fragilisent la crédibilité du RGPD. Pour les groupes internationaux, cela crée un environnement plus prévisible… mais aussi plus exigeant.

Ce nouveau tempo aura un impact direct sur les DPO, les équipes data et juridiques : les délais de réponse, les audits internes, les process de documentation devront être mieux cadencés. Impossible désormais de naviguer à vue.

Actualité Data : Quel impact pour vos équipes analytics et marketing ?

Ces actualités réglementaires ne sont pas seulement des sujets juridiques : elles touchent directement la façon dont les équipes data, marketing, produit ou juridique structurent leur quotidien. 

Si certaines n’ont pas d’impact direct sur les entreprises, ces mesures viennent donner un cadre à l’ensemble de ses pratiques et on peut s’attendre à ce que certaines s’élargissent pour définir des règles de conduites plus strictes à venir. Voici ce que les entreprises peuvent déjà faire pour se préparer. 

Au-delà du montant, c’est la portée de la décision qui retient l’attention : le DPC impose également à TikTok de suspendre ces flux hors EU dans un délai de six mois, sauf mise en conformité.

1. Conformité renforcée

Le suivi des transferts internationaux, la gestion du consentement, le choix des outils d’analyse ou d’IA… tout doit désormais intégrer des critères légaux. 

L’approche attendue par les régulateurs doit être proactive, documentée, auditable. Cela suppose d’impliquer les experts data et IT en amont, et d’outiller les équipes pour qu’elles puissent piloter ces exigences au quotidien. 

2. Simplicité utile

Certaine règlementation semble ouvrir la voie à un certain allègement de charge notamment avec le seuil d’exemption de registre des traitements pour les PME. Or, un allègement de charge ne signifie pas un manque de rigueur. 

Les fondations du RGPD restent valables pour toutes les tailles d’entreprise. L’enjeu est donc de mettre en place des process agiles, sans céder sur la conformité.

3. Ciblage encadré = responsabilité

Le micro‑ciblage publicitaire devient un sujet qui demande transparence et documentation, y compris dans les dashboards. La priorité est de mise pour que les entreprises reprennent le contrôle de leur ciblage.

Ce cadre annonce un mouvement de fond : les logiques de segmentation devront être justifiables, auditées, et pilotées avec rigueur. Cela implique de reprendre le contrôle sur les bases de données, les critères d’activation, et les paramétrages des campagnes dans vos outils.

4. Suivi IA Traçable

Pour les fournisseurs et utilisateurs de modèles, la conformité IA doit être anticipée. Le code de conduite publié est un bon point de départ sur lequel s’appuyer, mais les marques peuvent déjà aller plus loin pour réguler leurs pratiques et leurs usages de l’IA. 

Cela peut passer par la conception de charte IA interne avec des règlements d’usage ou en centralisant les outils utilisés au sein de l’entreprise qui utilisent l’IA. Les entreprises peuvent aussi documenter leurs prompts, tester les sorties et former leurs équipes à l’usage raisonné et responsable de l’IA

5. Collaboration Européenne

En facilitant la collaboration européenne en matière de gestion des plaintes, les procédures. La mise en place d’un cadre harmonisé pour les plaintes transfrontalières va accélérer le rythme des procédures et réduire la marge de manœuvre pour les entreprises mal préparées.

Pour les groupes présents dans plusieurs pays, c’est le bon moment pour standardiser les pratiques, clarifier les rôles et renforcer la gouvernance RGPD à l’échelle du groupe.