Archives par mot-clé : Données personnelles

L’Omnibus numérique controversé de la Commission européenne bute sur les données personnelles

Publié le par

Le Digital Omnibus veut « réviser » des textes européens, dont le RGPD et l’EUDPR, afin de les rendre plus innovation-compatibles. Mais la remise en question de la notion de données à caractère personnel provoque une levée de boucliers des « Cnil » européennes et des défenseurs de la vie privée.

L’avis conjoint du Comité européen de la protection des données (CEPD/EDPB), qui regroupe les « Cnil » européennes, et de son Contrôleur européen de la protection des données (CEPD/EDPS) était très attendu sur la proposition d’Omnibus numérique que la Commission européenne a présentée le 19 novembre 2025. Celle-ci vise à simplifier le cadre réglementaire numérique des Vingt-sept, à réduire la charge administrative et à renforcer la compétitivité des entreprises européennes. L’avis conjoint, lui, a été publié le 11 février 2026 et il n’est pas tendre avec certaines modifications proposées car elles « suscitent d’importantes préoccupations ».

Notion de données personnelles menacée
Le comité EDPB et le contrôleur EDPS « invitent instamment les colégislateurs » (le Parlement européen et le Conseil de l’Union européenne) à ne pas adopter les modifications proposées – par la Commission européenne – à la définition des données à caractère personnel, « étant donné qu’elles vont bien au-delà d’une modification ciblée ou technique du RGPD », le règlement général sur la protection des données. L’EDPB et l’EDPS estiment en outre que ces modifications concernant la définition des données à caractère personnel « ne reflètent pas exactement et vont clairement au-delà de la jurisprudence » de la Cour de justice de l’Union européenne (CJUE), et elles « aboutiraient à une réduction significative de la notion de données à caractère personnel ».
Les « Cnil » européennes et l’autorité de supervision distincte considèrent ensemble que « la Commission européenne ne devrait pas être chargée de décider, par un acte d’exécution, ce qui n’est plus des données à caractère personnel après la pseudonymisation, étant donné qu’elle a une incidence directe sur le champ d’application du droit de l’Union en matière de protection des données ». Et la présidente du comité EDPB, Anu Talus (photo de gauche), d’insister (suite)

« Guerre informationnelle » et lutte contre la « désinformation étrangère » agitent l’Etat français

Publié le par

Face à la désinformation, l’Etat français s’érige de plus en plus en régulateur des contenus. Le secrétariat général de la défense et de la sécurité nationale (SGDSN) joue un rôle central avec son « service de vigilance et de protection contre les ingérences numériques étrangères » (Viginum).

Cela fait maintenant quatre ans jour pour jour – au 15 octobre 2025 – qu’un « comité éthique et scientifique », institué auprès du Secrétariat général de la défense et de la sécurité nationale (SGDSN), lequel dépend directement du Premier ministre, est chargé de suivre l’activité du « service de vigilance et de protection contre les ingérences numériques étrangères », plus connu sous le nom de Viginum, créé en 2021. Son comité est présidé depuis près deux ans par Jean-Luc Sauron (photo), conseiller d’Etat, et est composé de sept « personnalités qualifiées ».

Désinformation : le conseil de défense attendra
C’est le SGDSN, installé dans le 7e arrondissement de Paris et à proximité immédiate des Invalides et du ministère des Armées, qui est censé coordonner la tenue de ce que des médias ont appelé le « conseil de défense sur la guerre informationnelle » (1). Convoqué par le président de la République, Emmanuel Macron, ce conseil de défense (2) devrait se tenir initialement le 10 septembre 2025, dans le but de faire le point sur la stratégie et les capacités françaises en matière d’influence, de lutte contre les manipulations de l’information et les tentatives de déstabilisation venues de l’étranger. Mais il a été reporté et devait être « reprogrammé au mois d’octobre », d’après La Lettre (3). Cependant, les démissions successives de deux Premier ministre – François Bayrou le 9 septembre et Sébastien Lecornu le 6 octobre, ce dernier ayant été le plus éphémère locataire de Matignon de toute la Ve République (27 jours), avec un gouvernement « Lecornu 1 » mort-né en seulement 14h30 – ne permettront pas de réunir d’ici la fin du mois d’octobre ce conseil de défense sur la guerre informationnelle. Même avec « Lecornu 2 ». Les raisons du report initial du conseil de défense sur la guerre informationnelle ne sont pas (suite)

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Publié le par

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite)

Transfert des données de l’UE vers les US : illégal ?

Publié le par

En fait. Le 18 mars était le dernier jour pour deux démocrates américains, Rebecca Kelly Slaughter et Alvaro Bedoya, jusqu’alors commissaires au sein de la Federal Trade Commisson (FTC), laquelle surveille – avec le PCLOB – le respect des données personnelles transférées d’Europe par les entreprises américaines.

En clair. Donald Trump a congédié Rebecca Kelly Slaughter (1) et Alvaro Bedoya (2), dont les mandats de commissaire à l’agence fédérale américaine – en charge notamment de la protection des données personnelles – se sont terminés le 18 mars dernier. Ces démissions forcées à caractère politique – les deux sont affiliés au Parti démocrate américain – ont été décidées par le locataire de la Maison-Blanche deux mois après que celui-ci ait limogé Sharon Bradford Franklin – elle aussi démocrate – de la présidence du Privacy and Civil Liberties Oversight Board (PCLOB), avec deux de ses membres démocrates, Edward Felten et Travis LeBlanc (3). Cette autre agence gouvernementale, censée elle aussi être indépendante, est chargée de veiller entre autres au respect de la vie privée.
Le point commun de ces limogeages prononcés par le 47e président des Etats-Unis est qu’ils ont un impact direct sur le Data Privacy Framework (DPF), cet accord transatlantique établissant le cadre réglementaire du transfert des données personnelles des Européens vers les Etats-Unis – notamment vers les Gafam et les géants du cloud américain que sont Amazon Web Services (AWS), Google Cloud et Microsoft Azure). Car la FTC et le PCLOB étaient (suite)