Archives par mot-clé : Données personnelles

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite) : « Nous demandons instamment aux colégislateurs de ne pas adopter les modifications proposées dans la définition des données à caractère personnel, car elles risquent d’affaiblir considérablement la protection des données individuelles ». Et le président du contrôleur EDPS, Wojciech Wiewiórowski (photo de droite), d’abonder : « Nous devons veiller à ce que toute modification du RGPD et du RPDUE [règlement 23 octobre 2018 pour la protection des données à caractère personnel dans l’Union européenne et leur libre circulation] clarifie réellement les obligations et apporte une sécurité juridique tout en maintenant la confiance et un niveau élevé de protection des droits et libertés individuels ».
La proposition « Digital Omnibus » ajouterait un nouveau paragraphe à l’article 4 du RGPD (1) et à l’article 3 de l’EUDPR (2) pour redéfinir les données personnelles de la façon suivante : « Les informations relatives à une personne physique ne sont pas nécessairement des données personnelles pour toute autre personne ou entité, simplement parce qu’une autre entité peut identifier cette personne physique. Les informations ne sont pas personnelles pour une entité donnée lorsque cette entité ne peut pas identifier la personne physique à laquelle les informations se rapportent, en tenant compte des moyens raisonnablement susceptibles d’être utilisés par cette entité. Ces informations ne deviennent pas personnelles pour cette entité simplement parce qu’un destinataire ultérieur potentiel dispose de moyens raisonnablement susceptibles d’être utilisés pour identifier la personne physique à laquelle les informations se rapportent » (3).Cette modification proposée par la Commission européenne veut « codifier » les interprétations de la CJUE, notamment en ce qui concerne la pseudonymisation des données personnelles, en se référant notamment à l’arrêt « EDPS contre SRB » (4) rendu le 4 septembre 2025. C’est là que le bât blesse aux yeux du comité et du contrôleur de la protection des données : « Les modifications proposées introduisent des changements significatifs dans cette définition qui vont au-delà de l’objectif déclaré d’introduire des amendements “ciblés” ou “techniques” au RGPD et à l’EUDPR. […] Modifier la définition des données personnelles aurait un impact direct sur [leur] champ d’application matériel ».

Respecter jurisprudence et droits fondamentaux
Dans leur avis conjoint d’une cinquantaine de pages (5), l’EDPB et l’EDPS tiennent à rappeler que « la définition des données à caractère personnel est au cœur même de la législation de l’UE en matière de protection des données, notamment l’article 8 de la Charte des droits fondamentaux (6) et l’article 16 du traité sur le fonctionnement de l’UE (7) ». Autrement dit, la Commission européenne doit non seulement respecter la jurisprudence de la CJUE mais aussi se conformer aux textes fondamentaux. L’arrêt « EDPS contre SRB », qui a notamment confirmé la jurisprudence précédente telle que celle issue de l’arrêt « GVA contre Scania » (8) du 9 novembre 2023, a rappelé que « des données impersonnelles peuvent devenir de nature personnelle lorsqu’elles sont mises à la disposition d’un destinataire (tout destinataire) avec des moyens raisonnablement susceptibles d’être utilisés pour identifier un sujet de données ».

Digital Omnibus, risque d’insécurité juridique
La CJUE a confirmé que « dans de tels cas, ces données sont des données à caractère personnel tant pour le destinataire que, indirectement, pour l’entité qui met les données à la disposition de ce dernier ». Et les « Cnil » européennes, avec leur contrôleur des données personnelles, d’enfoncer le clou : « Les modifications proposées auraient pour effet de restreindre considérablement la notion de données à caractère personnel, ce qui porterait atteinte au droit fondamental à la protection des données. De plus, la modification proposée pourrait inciter les responsables du traitement à rechercher des failles dans le régime de protection des données et à tenter de contourner l’application du RGPD ou de l’EUDPR. La proposition néglige en outre des éléments clés du concept de données à caractère personnel au titre du considérant 26 du RGPD, tels que le concept de “singularisation” [singling out dans le texte, ndlr] ».
Il est donc reproché à la Commission européenne de créer de la confusion et d’accroître l’insécurité juridique, d’autant que la définition des données à caractère personnel contenue dans le RGPD est mentionnée ou alignée sur d’autres actes juridiques importants de l’UE, tels que la directive « Police-Justice » (9) du 27 avril 2016. « Modifier la définition des données à caractère personnel dans le RGPD pourrait donc avoir des répercussions imprévues sur d’autres actes juridiques et porter atteinte à la cohérence globale du cadre juridique de l’UE », sans parler « des risques de fragmentation avec d’autres cadres juridiques internationaux – comme en particulier la Convention 108 du Conseil de l’Europe (10) – ou avec des lois nationales dans les pays tiers qui jusqu’à présent sont largement alignées ou équivalentes à la définition actuelle dans le cadre du RGPD ». Pour toutes ces raisons, le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs à ne pas adopter les modifications proposées de la définition des données à caractère personnel ». Par ailleurs, l’avis conjoint des gendarmes des données rappelle que l’EDPB est en train de préparer des orientations actualisées sur la pseudonymisation et d’élaborer un nouvel ensemble de lignes directrices sur l’anonymisation, qui tiendront compte, entre autres, de l’arrêt « EDPS contre SRB ». A ce propos, les « Cnil » européennes et leur contrôleur se disent « préoccupés par le fait que la proposition permettrait de préciser davantage – au moyen d’un acte d’exécution – les moyens et critères qui déterminent si les données résultant de la pseudonymisation ne constituent plus des données à caractère personnel pour certaines entités ». En effet, la Commission européenne serait habilitée à adopter de tels « actes d’exécution » (11), qui s’appliqueraient également au traitement des données à caractère personnel dans le cadre de l’EUDPR.
Cette modification compléterait la modification proposée à la définition de données personnelles. « La délimitation de ce qui constitue (et de ce qui ne constitue pas) des données à caractère personnel affecte directement le champ d’application du droit de l’UE en matière de protection des données. Un acte d’exécution tel que proposé pourrait de facto affecter le champ d’application matériel de la législation européenne sur la protection des données, redéfinissant effectivement le champ d’application du moment et du destinataire des informations considérées comme des données personnelles », mettent en garde l’EDPB et l’EDPS, lesquels considèrent que « les incidences pratiques de la mise en œuvre des “moyens et critères” énoncés dans les actes d’exécution restent floues et entraînent des difficultés de conformité ». Pour toutes ces raisons encore, l’EDPB et l’EDPS suggèrent donc de « supprimer » la proposition d’acte d’exécution.
L’organisation autrichienne de protection de la vie privée Noyb (nom issu du slogan « None Of Your Business ») s’est aussitôt félicitée de cet avis conjoint : « Les autorités indépendantes ont identifié les changements clés pour ce qu’ils sont : ni “changements techniques” ni “simplification”, mais des limitations du droit à la protection des données pour les résidents de l’UE », a déclaré (12) son dirigeant Max Schrems (photo ci-dessus).

Data et IA : Noyb (Max Schrems) déçu
En outre, du côté de l’entraînement des IA fondé sur « un intérêt légitime » (également traité dans l’avis conjoint du 11 février 2026), Noyb regrette que les « Cnil » européennes et leur contrôleur des données personnelles « ne clarifient pas la question », notamment sur l’utilisation des données à caractère personnel. « De nombreuses autres questions clés concernant l’utilisation des données à caractère personnel dans la formation à l’IA ne seraient pas résolues par la proposition ». @

Charles de Laubier

« Guerre informationnelle » et lutte contre la « désinformation étrangère » agitent l’Etat français

Publié le par

Face à la désinformation, l’Etat français s’érige de plus en plus en régulateur des contenus. Le secrétariat général de la défense et de la sécurité nationale (SGDSN) joue un rôle central avec son « service de vigilance et de protection contre les ingérences numériques étrangères » (Viginum).

Cela fait maintenant quatre ans jour pour jour – au 15 octobre 2025 – qu’un « comité éthique et scientifique », institué auprès du Secrétariat général de la défense et de la sécurité nationale (SGDSN), lequel dépend directement du Premier ministre, est chargé de suivre l’activité du « service de vigilance et de protection contre les ingérences numériques étrangères », plus connu sous le nom de Viginum, créé en 2021. Son comité est présidé depuis près deux ans par Jean-Luc Sauron (photo), conseiller d’Etat, et est composé de sept « personnalités qualifiées ».

Désinformation : le conseil de défense attendra
C’est le SGDSN, installé dans le 7e arrondissement de Paris et à proximité immédiate des Invalides et du ministère des Armées, qui est censé coordonner la tenue de ce que des médias ont appelé le « conseil de défense sur la guerre informationnelle » (1). Convoqué par le président de la République, Emmanuel Macron, ce conseil de défense (2) devrait se tenir initialement le 10 septembre 2025, dans le but de faire le point sur la stratégie et les capacités françaises en matière d’influence, de lutte contre les manipulations de l’information et les tentatives de déstabilisation venues de l’étranger. Mais il a été reporté et devait être « reprogrammé au mois d’octobre », d’après La Lettre (3). Cependant, les démissions successives de deux Premier ministre – François Bayrou le 9 septembre et Sébastien Lecornu le 6 octobre, ce dernier ayant été le plus éphémère locataire de Matignon de toute la Ve République (27 jours), avec un gouvernement « Lecornu 1 » mort-né en seulement 14h30 – ne permettront pas de réunir d’ici la fin du mois d’octobre ce conseil de défense sur la guerre informationnelle. Même avec « Lecornu 2 ». Les raisons du report initial du conseil de défense sur la guerre informationnelle ne sont pas (suite) claires, mais certaines sources font état de divergences entre l’Elysée et Matignon sur la manière pour la France de se mettre en ordre de bataille informationnelle : la présidence de la République souhaiterait une approche plus offensive et centralisée, tandis que les services du Premier ministre voudraient une coordination interministérielle plus prudente, notamment avec les ministères de la Culture et de l’Education nationale. Autre divergence dans l’approche de cette « guerre informationnelle » : le rôle de Viginum « contre les ingérences numériques étrangères ». Certains veulent amplifier les capacités d’action et donc ses moyens financiers. Or l’extension des prérogatives de Viginum au sein du SGDSN, notamment en matière de détection algorithmique et de signalement public, soulève des réserves sur la transparence et les garanties éthiques de ses actions informationnelles. D’autant que depuis sa création, le Viginum qui surveille la « désinformation étrangère » est lui-même aussi sous double surveillance : d’une part de son comité éthique et scientifique, d’autre part de la Cnil. Car il s’agit d’éviter que Viginum ne porte atteinte aux droits et libertés fondamentaux, dont la liberté d’expression et la liberté d’opinion, ni n’empiète sur la liberté de la presse (des médias) et le droit de savoir (pour le public).
Le comité éthique et scientifique est chargé de suivre l’activité de Viginum. Si l’arrêté de 2021 de nomination de ses huit membres (dont sa présidence) n’indique pas que leur mandat est de cinq ans non renouvelables, le décret de la même année le précise (4). Mis à part le remplacement en novembre 2023 de sa présidente Béatrice Bourgeois par Jean-Luc Sauron (5), les autres membres sont toujours en place. « Oui, je suis toujours membre », nous répond Aymeril Hoang, consultant numérique et innovation, ex-directeur de cabinet du Secrétaire d’Etat chargé du numérique Mounir Mahjoubi (2018-2019). « Oui, il me reste encore un an », nous précise aussi Benoît Loutrel, membre de l’Arcom (désigné du temps du CSA). Ils sont parmi les sept « personnalités qualifiées » qui constituent ce comité éthique et scientifique de Viginum.

Liberté de la presse et liberté d’expression
Y siègent aussi : Jean-Maurice Ripert, vice-président de l’Association française pour les Nations Unies (Afnu) et ex-Ambassadeur de France en Chine, et en Russie ; Marie-Christine Tarrare, procureure générale ; Claude Kirchner, président du Comité consultatif national d’éthique du numérique. Seuls deux membres sont issus des médias : Pauline Talagrand, adjointe à la rédaction en chef centrale de l’AFP et Julie Joly, exdirectrice générale du Nouvel Obs et ex-rédactrice en chef adjointe de L’Express. Quant à Jean-Luc Sauron, président de ce comité depuis près de deux ans, il est conseiller d’Etat, délégué au droit européen,chargé parmi les sages du Palais-Royal du suivi des questions liées au droit de l’Union européenne et de la Convention européenne des droits de l’homme. Ainsi encadré, Viginum doit rester circonscrit aux « ingérences numériques étrangères » sans porter atteinte à la liberté de la presse et à la liberté d’expression.

Surveillance web et données personnelles
La Commission nationale de l’informatique et des libertés (Cnil) a déjà mis en garde l’Etat français contre les risques de dérapages de Viginum. Si « le traitement [automatisé de données à caractère personnel visant à détecter et caractériser les opérations d’ingérence numérique étrangères] est justifié par l’objectif légitime de préserver la sincérité du débat démocratique et de lutter contre les atteintes aux intérêts fondamentaux de la Nation », le gendarme des données personnelles « estime néanmoins que la mise en œuvre d’un tel traitement n’est pas neutre sur l’exercice des libertés publiques compte tenu de l’économie générale du traitement et des conséquences que ce traitement est susceptible d’avoir sur certains droits et libertés fondamentaux, dont la liberté d’expression et la liberté d’opinion ».
Ces sérieuses réserves sur Viginum, formulées par la Cnil dans son avis du 7 octobre 2021, s’accompagnent d’inquiétudes sur des « atteintes » aux droits fondamentaux par « une veille permanente et, parce qu’il peut concerner tous les champs du débat public, [qui] est susceptible de permettre à tout instant une collecte massive de données ». Et de prévenir : « De telles atteintes ne peuvent être admises que si des garanties suffisantes sont prévues. […] Une attention particulière doit être accordée au principe de transparence à l’égard du grand public et aux principes de minimisation des données et de respect de la vie privée dès la conception, en limitant le traitement de données non pertinentes » (6). La surveillance généralisée du Web n’est pas loin, à l’instar de ce que pratique la Chine, la Russie ou l’Iran. La Cnil évoque « potentiellement plusieurs centaines de milliers de personnes » peuvent être concernées en France. Car Viginum, au sein du SGDSN que dirige depuis six mois Nicolas Roche (photo ci-dessus), ancien ambassadeur de France en Iran, n’y va pas par quatre chemins pour aspirer les contenus en ligne selon des techniques automatisées – désormais optimisées par l’intelligence artificielle. Et ce, par « des techniques d’extraction du contenu de sites [web], via des scripts ou des programmes automatisés (webscraping) ou l’utilisation d’interfaces de mise à disposition des données fournies par les plateformes (ou API), durant une période initiale de sept jours ». Et c’est Viginum et son comité éthique et scientifique qui vont « séparer les informations à conserver de celles qui doivent être immédiatement supprimées […], afin de confirmer, le cas échéant, la présence d’une opération d’ingérence numérique étrangères ». La Cnil a considéré en outre qu’« une atteinte particulièrement importante au droit au respect de la vie privée et à la protection des données à caractère personnel est caractérisée ». Le gendarme des données avait donc vivement recommandé au gouvernement que le comité éthique et scientifique veille « effectivement » sur les opérations de collecte déclenchées par Viginum (à partir des fiches de traçabilité transmises), et que « les moyens du comité devraient être proportionnés à ses missions, afin qu’il puisse réagir rapidement ».
Pour plus de transparence sur leurs actions, le comité éthique et scientifique de Viginum est censé publier ses rapports annuels. Le premier l’a été pour la période juillet 2021-décembre 2022. Mais force est de constater (7) qu’à mioctobre 2025 aucun rapport n’a été diffusé pour les années 2023 ou 2024, ni pour le début de 2025. Selon une information d’Intelligence Online l’été dernier, la Cour des comptes va lancer un audit sur le SGDSN et Viginum « lors du second semestre 2025 » (8). Malgré les risques de dérapages pouvant porter à la démocratie, certains prônent un renforcement accru du SGDSN et de son Viginum, au lieu de multiplier les acteurs dans la guerre informationnelle (SGDSN, Anssi, Délégation interministérielle, les Armées, le Quai d’Orsay, Services de renseignement, …).

Le SGDSN renforcé : appel au privé ?
C’est le cas de Benoît Thieulin, ex-président de feu le Conseil national du numérique (CNnum), et de Arnaud Dassier, entrepreneur et ancien membre du cabinet d’Alain Madelin et ancien consultant communication de Jacques Chirac puis de Nicolas Sarkozy, qui dénoncent « la dilution des responsabilités et le saupoudrage des moyens ». « Une autorité unique – qui pourrait être le SGDSN – devrait coordonner la riposte sous l’autorité directe du Président de la République, avec des moyens dédiés et une doctrine offensive assumée », affirmentils, quitte à ce que le SGDSN puisse « s’appuyer sur des proxys : agences privées, relais médias et influenceurs extérieurs » (9). Benoît Thieulin a cofondé en juillet 2025 La Warroom (10) qu’il dirige, une agence privée justement, « pour armer les récits, de l’analyse prédictive à la riposte informationnelle ». @

Charles de Laubier

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite) la base légale et la transparence d’un tel traitement. Le 4 septembre 2024, la DPC avait alors demandé au Comité européen sur la protection des données (EDPB) de rendre un avis sur l’utilisation de données personnelles pour le développement et le déploiement de modèles d’IA (7). Tenant compte de cet avis du 17 décembre (8), Meta a réévalué certaines modalités de son projet (notamment le renforcement des mesures de filtrage pour réduire le risque que des données personnelles soient mémorisées par les modèles d’IA lors de la phase d’entraînement) et a fourni à la DPC une documentation actualisée dans l’optique de débuter l’entraînement de ses modèles d’IA le 27 mai 2025.
Après avoir examiné les propositions de Meta et recueilli les commentaires des autres autorités de contrôle européennes, la DPC a formulé un certain nombre de recommandations qui ont été appliquées par Meta, parmi lesquelles la simplification des formulaires d’opposition au traitement et leur accessibilité pendant plus d’un an, la fourniture d’une information claire sur les moyens permettant aux utilisateurs de contrôler les données utilisées (paramétrage des contenus en mode privé), et un délai plus long entre ces informations et le lancement du projet pour leur permettre réellement de s’y opposer (9). L’annonce de ce projet a suscité une levée de boucliers par plusieurs associations, telles que UFC-Que Choisir (10) en France ou Noyb en Autriche. Cette dernière a notamment adressé à l’entreprise une mise en demeure (11), se réservant la possibilité d’intenter une action de groupe au civil. En parallèle, une association de consommateurs allemande (VZNRW) a saisi en référé le tribunal régional supérieur de Cologne – Oberlandesgericht Köln (OLG Köln) – afin qu’il soit interdit à Meta de traiter les données personnelles partagées publiquement par les utilisateurs sur les services Facebook et Instagram afin de développer et améliorer ses IA. Dans une décision (12) rendue le 23 mai 2025, le tribunal rejette la demande de l’association (après un examen qu’il qualifie de sommaire de l’affaire, mais qui est pourtant très étayé), et ne remet pas en cause la légalité du projet de Meta. En effet, en s’appuyant sur une argumentation documentée, conforme à l’avis de l’EDPB et enrichie de l’avis circonstancié des autorités de contrôle des Länder du Bade-Wurtemberg et d’Hambourg, il a écarté, un à un, les griefs soulevés tenant à : la violation du Digital Markets Act (DMA) ; l’impossibilité pour Meta de fonder le traitement sur l’intérêt légitime ; et l’absence d’exception autorisant le traitement de données sensibles. L’OLG Köln a d’abord estimé que la constitution d’une base de données d’entraînement au moyen des données publiques issues des services Facebook et Instagram ne violait pas le DMA (13) – Meta étant désigné comme contrôleur d’accès par la Commission européenne pour ces services essentiels.

Gatekeeper : pas de violation du DMA
Le DMA interdit à tout contrôleur d’accès de combiner, sans consentement préalable de l’utilisateur, les données personnelles provenant d’un service essentiel, qu’il propose aux utilisateurs, avec celles provenant d’un autre service. Selon le tribunal, le fait que Meta introduise des données partiellement désidentifiées et fragmentées provenant de deux services de plateforme dans un ensemble non structuré de données d’entraînement ne constitue pas une combinaison de données, au sens du DMA, en l’absence de lien et mise en relation des données personnelles d’un utilisateur provenant d’un service à celles du même utilisateur provenant d’un autre service. L’OLG Köln valide ensuite le recours à l’intérêt légitime comme base légale de traitement, en réalisant une analyse complète, s’appuyant sur les différents critères exigés par l’EDPB. Le tribunal y reconnaît ainsi que l’intérêt poursuivi, à savoir proposer une IA générative optimisée en fonction des habitudes régionales, quoique commercial, est légitime, puis que le traitement envisagé par Meta s’avère nécessaire pour atteindre cet intérêt en l’absence d’un moyen moins intrusif.

Rapport de Meta pour octobre 2025
Pour démontrer cette nécessité, le tribunal de Cologne mobilise l’AI Act (14) qui reconnaît expressément que le développement et l’entraînement des modèles d’IA génératifs requièrent un accès à de grandes quantités de données (15). S’agissant des moyens moins intrusifs proposés notamment par l’association – à savoir le fait d’utiliser uniquement des données anonymisées ou synthétiques (données qui ne sont pas issues d’une observation réelle, mais qui sont créées artificiellement via des simulations), ou de restreindre l’entraînement aux seules données d’interaction avec les systèmes d’IA –, ils ne permettraient pas, selon l’OLG Köln, d’obtenir des résultats comparables.
Enfin, la mise en balance de l’intérêt légitime poursuivi par Meta avec les intérêts et droits des personnes concernées est jugée adéquate. Le tribunal allemand a identifié les conséquences négatives du traitement, notamment les atteintes aux droits des personnes de décider et contrôler l’usage de leurs données et au droit à l’effacement. Ces conséquences négatives sont toutefois tempérées en raison, d’une part, du caractère public des données traitées limitant les risques liés à une divulgation (puisque ces données sont déjà accessibles librement), et, d’autre part, des mesures de mitigation mises en place par Meta. Sont soulignées les mesures visant à réduire le caractère identifiant des données (incluant la tokenisation) et à les rassembler sous une forme non structurée. Sont également mises au crédit de Meta les possibilités offertes aux utilisateurs pour empêcher l’inclusion de leurs données dans la base d’entraînement : le retrait du statut « public » de leurs publications ou de leur compte ainsi que l’opposition au traitement spécifique des données pour entraîner les modèles d’IA par l’intermédiaire de deux formulaires disponibles en ligne. L’OLG Köln a estimé que l’opposition pouvait ainsi être exercée sans difficulté et de manière éclairée par l’utilisateur dans un délai suffisant (six semaines avant la mise en œuvre effective du traitement). La décision laisse toutefois en suspens la question du caractère effectif de cette possibilité d’opposition pour les tiers non-utilisateurs cités dans les publications ou commentaires. Concernant les attentes raisonnables des personnes concernées, le traitement des données publiées à partir du 26 juin 2024 est jugé prévisible pour les utilisateurs qui ont été informés de ce traitement par l’annonce du 10 juin 2024. S’agissant des données publiées antérieurement, leur traitement n’est, en revanche, pas jugé prévisible car sa finalité n’est pas d’améliorer les services existants de Meta mais de développer des IA utilisables de manière autonome et accessibles à tous. Cette absence de prévisibilité n’est toutefois pas vue comme une difficulté pour la juridiction qui justifie l’absence d’interdiction de traiter ces données au motif que les utilisateurs disposent d’un instrument d’opposition efficace. Enfin, le traitement des données sensibles des utilisateurs est autorisé car il porte sur des données manifestement rendues publiques par l’utilisateur, l’une des exceptions prévues à l’article 9 du RGPD. S’agissant des données sensibles de tiers partagées par les utilisateurs via des publications, le tribunal de Cologne reconnaît que l’exception précédente ne peut pas être mobilisée, mais estime – en s’appuyant notamment sur une jurisprudence de la Cour de Justice de l’UE de 2019 (qui n’aborde pourtant pas cette problématique précise (16)) et sur le fait qu’une application littérale de l’article 9 du RGPD ne permettrait pas d’atteindre les objectifs de l’AI Act – que Meta peut traiter ces données de manière incidente et résiduelle jusqu’à ce que l’interdiction de le faire soit sollicitée par le tiers concerné. Cette décision de l’OLG Köln, couplée aux échanges avec la DPC et à la mise en place des mesures proposées par cette dernière – enrichies de l’avis des autres autorités de l’UE –, entérinent donc la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA. Mais l’entreprise ne bénéficie pas d’un blanc-seing pour autant.
La DPC suit de près le déploiement du projet et attend un rapport complet de Meta pour le mois d’octobre 2025 contenant, entre autres, des développements sur l’efficacité et l’adéquation des mesures. En parallèle, les autorités de l’UE collaborent (17) pour évaluer plus largement la conformité des traitements envisagés par Meta, notamment en lien avec la phase de déploiement des systèmes d’IA qui pose d’autres questions au regard du RGPD. Meta n’est donc pas totalement à l’abri de l’engagement d’une procédure de sanction par la DPC si des manquements sont constatés. Enfin, bien que la Cnil ne se soit pas officiellement positionnée sur la licéité des pratiques de Meta, la récente mise à jour de ses fiches sur la mobilisation de l’intérêt légitime pour développer un système d’IA (18) témoigne d’une certaine tolérance concernant ce type de pratiques.

Position de la Cnil sur l’intérêt légitime
La Cnil, ayant pris en compte les retours du terrain, y a notamment précisé que l’intérêt commercial entourant les projets de développement de systèmes d’IA par les entreprises constituait un intérêt légitime à part entière. Elle a également admis que cette base légale pouvait être mobilisée par un réseau social qui collecte des données d’utilisateurs rendues librement accessibles et manifestement publiques sur son forum en ligne afin de développer un agent conversationnel. Cette prise en compte par la Cnil des réalités économiques et opérationnelles est bienvenue et rassurera les développeurs de systèmes d’IA qui envisagent d’utiliser ou de constituer de grandes bases de données pour entraîner leurs modèles. @

Transfert des données de l’UE vers les US : illégal ?

Publié le par

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)

chargés de veiller au bon respect des normes de protection des données personnelles venues de l’Union européenne. Or le sujet est hypersensible depuis le scandale « Cambridge Analytica » de Facebook, d’une part, et les annulations des « décision d’adéquation » Safe Harbor (« Schrems I » de 2015) et Privacy Shield (« Schrems II » de 2020), d’autre part.
Après l’accord de Joe Biden le 7 octobre 2022 (4), la Commission européenne avait adopté le 10 juillet 2023 la troisième « décision d’adéquation » (5) permettant le transfert des données personnelles de l’UE vers les Etats-Unis. Ces limogeages au sein des garde-fous (FTC et PCLOB), censés protéger les données personnelles européennes sur le sol américain, remettent en cause cet accord. « Le cloud américain bientôt illégal ? », s’interroge Max Schrems (6), à l’origine des deux premières annulations. Beth A. Williams, membre républicaine du PCLOB est venue le 14 mars à Bruxelles pour tenter de rassurer Michael Mc Grath (7), le commissaire européen chargé notamment de la protection des consommateurs. Et ce, à l’heure où le climat économique s’assombrit à cause de la guerre des droits de douane déclenchée par Donald Trump. @