16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite)

Transfert des données de l’UE vers les US : illégal ?

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)

« Résumé suffisamment détaillé » : 2025 sera l’année de vérité dans la mise en œuvre de l’AI Act

Le rapport du CSPLA sur la mise en œuvre du règlement européen établissant des règles harmonisées sur l’IA fournit les ingrédients mais… pas la recette ! Le Bureau européen de l’IA, créé par l’AI Act, doit publier prochainement un « modèle européen » à suivre par les Vingt-sept.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le rapport « IA et Transparence des données d’entraînement » (1), publié le 11 décembre 2024 par le Conseil supérieur de la propriété littéraire et artistique (CSPLA), s’inscrit dans la préparation de la mise en œuvre du règlement européen sur l’intelligence artificielle (AI Act) et a pour objectif de clarifier l’interprétation et la portée des dispositions imposant un modèle de « résumé suffisamment détaillé » (2). Ce modèle sera présenté au nom de la France dans le cadre du processus d’adoption d’un modèle européen par le Bureau européen de l’IA (AI Office), autorité créée par l’AI Act et chargée d’accompagner les fournisseurs d’IA dans leur mise en conformité. La publication du modèle européen est attendue pour janvier 2025.

Transparence des données d’entraînement
La collecte de données de qualité, notamment de données culturelles, est d’une importance stratégique pour les fournisseurs d’IA, puisque les systèmes d’IA ont besoin d’ingurgiter de grandes quantités de données, leur servant de modèles dans leurs productions. Or, des données contenant des créations protégées par un droit de propriété intellectuelle peuvent avoir été obtenues sans autorisation ou sans tenir compte d’un « opt-out », et avoir été effectivement exploitées. Il en va de même concernant des données personnelles (posts Facebook, Instagram, …) potentiellement utilisées pour l’entraînement de modèles d’IA. L’enjeu est alors d’avoir accès à l’information sur les données d’entraînement utilisées par une IA, pour bien des raisons et notamment ouvrir une visibilité aux ayants droits dont des données et/ou créations auraient été mobilisées, quelles qu’en soient les modalités.
Pour ce faire, les fournisseurs d’IA sont désormais soumis à une obligation de transparence qui se concrétise par la mise en place d’une politique de conformité, ainsi que par la mise à disposition au public d’un « résumé suffisamment détaillé » (sufficiently detailed summary) des contenus utilisés pour l’entraînement du modèle d’IA. Ce résumé permet le développement d’une IA de confiance souhaitée au niveau européen (3), en remédiant aux difficultés rencontrées par les titulaires de droits, confrontés à une charge de la preuve disproportionnée concernant l’utilisation de leurs contenus. Pour autant, le résumé doit répondre aux enjeux de la création d’un marché dynamique et équitable de l’IA. Ce qui impose un compromis pour restreindre la quantité d’informations mise à disposition afin de protéger le secret des affaires, moteur d’innovation pour les fournisseurs d’intelligence artificielle. (suite)

Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)