Se connecter
logiciel rgpd
  1. 1 - Prospection électorale : Reconquête condamné, amende confirmée 
    1. 2 - Meta impose un opt-out pour entraîner son IA 
      1. 3 - Cloud souverain : la France relance (encore) la machine 
        1. 4 - Fuites de données : Indigo et Marks & Spencer dans la tourmente 
          1. 5 - Telegram menace de plier bagage si la France s’attaque au chiffrement 
            1. 6 - Projet Darwin EU : l’implication de Microsoft ne passe (toujours) pas  
              1. 7 - RGPD : vers un allègement des règles pour les TPE-PME ? 
                1. 8 - DMA : L’UE frappe Apple et Meta au portefeuille 
                  1. 9 - IA & vie privée : la RATP teste une nouvelle voie 
                    1. 10 - Et voilà, vous êtes à jour !

                      Cybersécurité & RGPD : Les actus à ne pas manquer d'avril 2025 

                      ActualitésApril 30, 2025

                      Avant d’embrayer sur un mois de mai truffé de ponts (et, on l’espère, de moments off), on vous a préparé un condensé des actus RGPD et cyber à ne pas rater ce mois-ci. Le tout en un seul article, promis. 

                      Fait assez rare pour être souligné : aucune d’entre elles n’a — de près ou de loin — un lien avec Trump. Un petit répit bien mérité. 

                      Allez, on plonge dans le vif. 

                      Prospection électorale : Reconquête condamné, amende confirmée 

                      Le Conseil d’État a tranché : le parti Reconquête devra bel et bien payer une amende de 20 000 € pour non-respect du RGPD. Une sanction initialement infligée par la CNIL en janvier 2024 et que le parti contestait. 

                      En cause : une campagne de SMS ciblant des électeurs supposés juifs avant la présidentielle de 2022. Le parti invoquait la responsabilité de son prestataire, mais le Conseil d’État a rappelé qu’il définissait les finalités et moyens du traitement. Il était donc bien responsable. 

                      La CNIL pointait aussi un défaut d’information, un manquement à l’obligation d’effacement, et une ignorance de ses rappels à l’ordre. 

                      Verdict : une sanction proportionnée… pour des millions de données concernées. 

                      🔗 Source : L’Usine Digitale 

                      Meta impose un opt-out pour entraîner son IA 

                      Meta a annoncé que ses IA seront désormais entraînées avec les données publiques de ses utilisateurs européens : publications, commentaires, interactions avec Meta AI… sauf pour les mineurs. 

                      Dès le 14 avril, Meta a commencé à prévenir ses utilisateurs européens : des notifications — dans vos applis et par e-mail — vous expliqueront quelles données seront aspirées (publications, commentaires, interactions avec l’IA…) et pourquoi c’est une « bonne chose » pour améliorer l’expérience avec Meta AI. 

                      lI est de notre responsabilité de construire une IA qui ne soit pas seulement disponible pour les Européens, mais qui soit réellement conçue pour eux. C'est pourquoi il est si important que nos modèles d'IA générative soient formés sur une variété de données afin qu'ils puissent comprendre les diverses nuances et complexités qui composent les communautés européennes.
                      Meta

                      Chaque notification contiendra un lien vers un formulaire d’opposition. Promis juré, il est facile à trouver, à lire, à remplir — et Meta assure qu’il respectera tous les refus.  

                      Mais attention, pas de panique… sauf si vous oubliez de répondre. Car ici, le silence vaut consentement. En clair : vos données serviront à entraîner l’IA par défaut, sauf si vous prenez le temps de dire non.

                      Deadline : 27 mai.  

                      🔗 Source : Le Monde  

                      Cloud souverain : la France relance (encore) la machine 

                      Face à une dépendance persistante aux hyperscalers américains — qui captent jusqu’à 80 % du marché européen — le gouvernement français repart à l’assaut du cloud souverain. 

                      Clara Chappaz, ministre déléguée à l’IA et au numérique, l’a rappelé haut et fort : cette dépendance technologique fragilise notre autonomie. Même des géants comme Total sont contraints de bricoler des solutions “on-premise” pour éviter les clouds made in USA. 

                      Pour corriger le tir, trois mesures ont été annoncées : 

                      • Un nouvel appel à projets France 2030 pour soutenir les solutions cloud européennes. 

                      • La création d’un Observatoire de la souveraineté numérique, chargé de cartographier les dépendances. 

                      • La mobilisation du Comité stratégique de filière Logiciels de confiance, qui planchera notamment sur la définition des données “sensibles”. 

                      Objectif : stimuler l’offre et la demande. Car proposer des clouds sécurisés, c’est bien, encore faut-il que les entreprises en aient l’usage. Côté public, la loi SREN impose désormais le recours à des offres sécurisées pour les données sensibles. Pour le privé, pas d’obligation, mais le gouvernement veut faire monter la pression doucement. 

                      Dans cette course à la souveraineté, le visa SecNumCloud devient l’étalon-or. Acteurs français comme américains (via des partenariats : Thales pour Google, Orange/Capgemini pour Microsoft) s’y engouffrent pour capter ce marché de plus en plus stratégique. 

                      Mais la vraie question reste : cette relance sera-t-elle la bonne, ou une nouvelle annonce sans lendemain ? 

                      🔗 Source : La Tribune 

                      Fuites de données : Indigo et Marks & Spencer dans la tourmente 

                      Le mois d’avril n’a pas été tendre côté cybersécurité. Deux nouveaux noms s’ajoutent à la longue liste des victimes de fuites de données : Indigo, spécialiste du stationnement, et Marks & Spencer, géant britannique du retail. 

                      Indigo : des infos personnelles à l'air libre 

                      Le 18 avril, Indigo a confirmé avoir subi une attaque. Résultat : noms, adresses postales, mails, téléphones, plaques d’immatriculation (dans certains cas) potentiellement compromis. Si l’entreprise assure que ni les données bancaires ni les mots de passe ne sont concernés, le combo d'infos reste suffisant pour des tentatives de phishing bien ficelées. Une plainte a été déposée et la CNIL informée. 

                      Marks & Spencer : click & collect en rade 

                      Côté britannique, c’est une cyberattaque non précisée qui a secoué Marks & Spencer. Résultat : retards sur les commandes en ligne, click & collect hors service, terminaux de paiement défaillants. Le CEO a pris la parole, un signalement a été fait au National Cyber Security Centre, et une cellule de réponse à incident a été déployée. 

                      🔗 Sources :  Le Figaro & L’Usine Digitale 

                      Telegram menace de plier bagage si la France s’attaque au chiffrement 

                      "Le chiffrement, ou rien." C’est en résumé la position (plutôt musclée) de Telegram. Son fondateur, Pavel Durov, a annoncé que l’app pourrait quitter la France si une loi imposait des backdoors dans les messageries chiffrées. Il dénonce une atteinte grave aux droits fondamentaux. 

                      Le contexte : une loi (encore hypothétique) sur la table 

                      À l’origine de ce coup de gueule : une proposition de loi visant à lutter contre le narcotrafic, avec un amendement (rejeté depuis) qui aurait permis à l’État d’exiger un accès aux messages chiffrés. Une porte ouverte à tous les abus, selon Durov. Et il n’a pas tout à fait tort : les experts rappellent qu’une backdoor, une fois créée, ne peut être réservée à "juste les gentils". Elle devient une faille exploitable… par n’importe qui. 

                      Ironie du sort… 

                      Telegram, souvent critiquée pour ne pas chiffrer par défaut toutes les conversations, se positionne ici comme chevalier blanc de la vie privée. Un paradoxe ? Pas tant que ça. Car le débat va bien au-delà d’une simple appli : c’est toute la légitimité du chiffrement de bout en bout qui est sur la sellette — en France, mais aussi à Bruxelles. 

                      La suite ? À surveiller de très près. Car derrière ce bras de fer se joue un équilibre fragile entre sécurité publique et libertés individuelles. 

                      🔗 Source : Le Parisien

                      Projet Darwin EU : l’implication de Microsoft ne passe (toujours) pas  

                      10 millions de Français. C’est le nombre de personnes concernées par un traitement massif de données de santé dans le cadre du projet européen Darwin EU, piloté par l’Agence européenne des médicaments (EMA). 

                      Le but ? Utiliser des données réelles (issues du Système National des Données de Santé) pour évaluer l’efficacité des médicaments et vaccins. Le problème ? Ces données sont hébergées chez… Microsoft. Et ça ne passe toujours pas. 

                      Un feu vert qui passe mal 

                      En février 2025, la CNIL a donné son feu vert à ce traitement à grande échelle, malgré la sensibilité extrême des données mobilisées (âge, sexe, région, historique médical…). Des associations (AIDES, InterHop, LDH, SUD Santé, etc.) préparent un recours devant le Conseil d’État, dénonçant le risque de surveillance extra-européenne via le CLOUD Act américain. 

                      🔗 Source : L’Usine Digitale 

                      RGPD : vers un allègement des règles pour les TPE-PME ? 

                      Bruxelles s’apprête à sortir les ciseaux. La Commission européenne planche sur une révision du RGPD pour assouplir certaines exigences pesant sur les petites et moyennes entreprises. Objectif : relancer la compétitivité en réduisant les lourdeurs administratives. 

                      Derrière ce projet : la volonté d’Ursula von der Leyen, présidente de la Commission Européenne, de rééquilibrer le rapport de force avec les États-Unis et la Chine. Ce "lifting" du RGPD pourrait concerner, entre autres, la simplification des registres de traitements ou des obligations autour des AIPD. 

                      Mais attention, cette réforme soulève déjà des inquiétudes. Certains redoutent qu’en rouvrant le texte, la boîte de Pandore du lobbying ne se rouvre aussi… et qu’on finisse par affaiblir les piliers mêmes de la protection des données personnelles en Europe. L’idée est bien de faciliter la mise en conformité — sans trahir l’esprit du texte. Enfin, en théorie. 

                      🔗 Source : Politico 

                      DMA : L’UE frappe Apple et Meta au portefeuille 

                      500 millions pour Apple. 200 millions pour Meta. Ce 23 avril, la Commission européenne a dégainé les premières grosses amendes au nom du Digital Markets Act (DMA), entré en vigueur un mois plus tôt pour réguler les pratiques anticoncurrentielles des géants du numérique. 

                      • Apple, d’abord, est sanctionné pour ses pratiques dites d’anti-steering : les développeurs n’étaient pas autorisés à informer les utilisateurs d’alternatives moins chères à l’App Store. En gros, vous pouviez cliquer sur un lien, mais pas savoir combien ça coûte.  

                      • Meta, ensuite, est pointé du doigt pour son système “Consent or Pay”, jugé non conforme. Le choix imposé aux utilisateurs entre “payer un abonnement” ou “accepter le traitement de leurs données” ne permettait pas un consentement libre et éclairé, selon la Commission.  

                      Les deux entreprises ont désormais 60 jours pour se mettre en conformité. Et même si ces montants sont symboliques à l’échelle de leurs bénéfices annuels (93 milliards pour Apple, 62 pour Meta), le message est clair : le DMA, ce n’est pas (que) du bluff. 

                      🔗 Source : Le Monde Informatique  

                      IA & vie privée : la RATP teste une nouvelle voie 

                      Et si on pouvait détecter certains événements dans les transports… sans jamais filmer un visage ? C’est le pari de la RATP avec son projet PRIV-IA, un dispositif expérimental soutenu par la CNIL via son "bac à sable" réglementaire. 

                      Le principe : installer une IA sur un capteur utilisant la technologie "time of flight" (ToF), capable d’analyser des représentations visuelles sans identifier directement les personnes. L’objectif ? Détecter des flux de passagers, des comportements inhabituels, ou des mouvements suspects… tout en limitant au maximum la collecte de données sensibles. 

                      La CNIL a salué les efforts de minimisation, mais rappelle que ces capteurs ne sont pas pour autant anonymes. Si les données issues du ToF peuvent être croisées avec de la vidéoprotection classique, elles tombent bel et bien dans le champ du RGPD. 

                      En résumé : une initiative intéressante, qui montre qu’on peut concilier innovation et respect de la vie privée — à condition de garder la barre bien droite sur la transparence et les droits des personnes. 

                      🔗 Source : Silicon  

                      Et voilà, vous êtes à jour !

                      Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin mai avec un nouveau récap’ ! 

                      Maya MoghraniWitik - Experte RGPD & Head of CSM

                      La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

                      Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

                      Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

                      • All rights reserved ©Witik 2025