16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite)

Entraînement des IA avec les données personnelles de Facebook et d’Instagram : validation européenne ?

Une décision rendue le 23 mai 2025 par un tribunal de Cologne (OLG Köln), couplée aux échanges préalables avec la « Cnil » irlandaise (DPC) et à la mise en place des mesures proposées par cette dernière, entérine la possibilité pour Meta de lancer son projet d’entraînement des modèles d’IA.

Par Sandra Tubert, avocate associée, et Miguel Piveteau, élève avocat, Algo Avocats

Le groupe Meta Platforms utilise depuis le 27 mai 2025 les données partagées publiquement par les utilisateurs majeurs et les comptes institutionnels sur ses services Facebook et Instagram (1) : publications, photos, vidéos ou encore commentaires (exceptés les messages échangés entre utilisateurs et contenus privés), mais aussi les interactions des utilisateurs avec ses systèmes d’intelligence artificielle (IA) pour entraîner ses grands modèles de langage (LLM) comme Llama.

Décision d’un tribunal de Cologne
A la différence de X (ex-Twitter) (2), Meta a engagé un dialogue constructif avec l’autorité irlandaise de protection des données (DPC). En effet, avant que le grand public ne découvre ce nouveau projet fin mai 2024, Meta avait informé la DPC, au mois de mars 2024, de son souhait d’utiliser les contenus publics de ses utilisateurs européens de Facebook et d’Instagram pour l’entraînement de ses modèles d’IA (3). Meta avait finalement suspendu le projet, le 14 juin 2024 (4), après le dépôt de plusieurs plaintes par l’organisation autrichienne Nyob auprès de onze autorités de contrôle européennes (5) et d’échanges avec la DPC (6), laquelle avait émis des réserves concernant notamment (suite)

Titulaires de droit et entraînement des IA : entre droit d’auteur recomposé et procès en série

Pendant que les systèmes d’IA prolifèrent en s’entraînant sur de quantités de données multimédias, les procès se multiplient dans le monde entre auteurs de contenus protégés et IA génératives – oscillant entre piratage, fair use ou encore exception pour « fouille de textes et de données ».

Par Christiane Féral-Schuhl et Richard Willemant, avocats associés, cabinet Féral

C’est un sujet à donner des sueurs froides aux titulaires de droit d’auteur ! Avec l’entrée en vigueur du règlement européen du 13 juin 2024 sur l’intelligence artificielle (IA) – l’AI Act (1) – et l’articulation des nouveaux usages de modèles d’IA avec les principes juridiques établis, les juridictions du monde entier naviguent à vue, tiraillées entre l’impératif d’innovation et le respect du droit d’auteur.

Nécessaire autorisation des titulaires de droit
Les données seraient-elles véritablement « l’or noir » du XXIe siècle ? Leur collecte et leur utilisation à des fins d’entraînement des systèmes d’IA semblent confirmer leur valeur économique stratégique à l’ère du tout-numérique. Or, la collecte massive et automatisée (aussi appelée « moissonnage » ou « web scraping ») de données accessibles sur les réseaux sociaux – comme cela a été récemment annoncé par la société Meta Platforms concernant les utilisateurs d’Instagram et de Facebook – et plus globalement sur Internet, comporte le risque de traiter des données protégées. Et ce, à l’image de celles concernant des œuvres originales, pour lesquelles une autorisation du titulaire de droit est requise.
La question est de savoir dans quelles conditions le fournisseur de système d’IA peut avoir recours à des données d’entraînement sur lesquelles des titulaires détiennent des droits d’auteur. En France, la protection des œuvres est très claire : « Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants droit ou ayants cause est illicite » (2), dit le code de la propriété intellectuelle (CPI). En principe, toute utilisation non autorisée d’un contenu protégé par le droit d’auteur à des fins d’entraînement d’un système d’IA est donc illicite.
Ainsi, les procédures engagées contre des fournisseurs de tels systèmes d’IA (suite)

AI Act, DSA, MiCA, … Superposition réglementaire : le casse-tête européen pour les projets innovants

L’ambition européenne pour un « marché unique numérique » a généré un véritable labyrinthe de textes réglementaires que nul n’est censé ignorer, pas même les start-up et les fintech, sauf à devenir hors-la-loi. Mais à ce patchwork s’ajoute le manque de coordination entre autorités compétentes.

Par Arnaud Touati, avocat associé, et Mathilde Enouf, juriste, Hashtag Avocats

L’Union européenne a une ambition manifeste : réguler de manière exemplaire la transition numérique. Du règlement sur l’intelligence artificielle (AI Act) aux directives concernant les services numériques (DSA/DMA), en passant par la régulation des actifs numériques (MiCA) et la résilience opérationnelle du secteur financier (DORA), le législateur européen ne cesse d’introduire des normes structurantes. Chacun de ces textes, pris séparément, a pour objectif de pallier une carence. Ensemble, ils constituent un écosystème réglementaire complexe, parfois dépourvu de cohérence, souvent difficile à appliquer.

Accumulation de textes sans réelle coordination
Pour les initiatives novatrices, en particulier les start-up et les fintech, cette accumulation de normes peut rapidement devenir complexe. Cela est d’autant plus vrai que les normes et directives techniques ne cessent de croître, changeant constamment le champ de la conformité sans perspective de stabilité à moyen terme ni durabilité juridique. Actuellement, le cadre réglementaire en Europe se fonde sur plusieurs éléments-clés. L’AI Act (1) met en place une catégorisation des systèmes d’intelligence artificielle basée sur leur niveau de risque, imposant des exigences rigoureuses aux systèmes considérés comme étant « à haut risque ». Le DSA (2) et le DMA (3) ont pour objectif de réguler les grandes plateformes numériques tout en offrant une protection accrue aux utilisateurs. MiCA (4) régule la création de jetons et l’offre de services liés aux crypto-actifs. DORA (5) impose des normes rigoureuses de cybersécurité dans le domaine financier. De nombreux intervenants de l’écosystème sont également soumis aux règles (suite)

Le groupe « LVMH Médias » se retire face à Meta

En fait. Le 12 mai, Edition Multimédi@ a appris que le groupe Les Echos-Le Parisien venait de se retirer de la plainte de 67 éditeurs français, déposée le 22 avril devant le tribunal économique de Paris, contre le géant Meta (Facebook, Instagram, …) accusé de pratiques illégales dans la publicité en ligne.

En clair. « Les Echos se sont retirés de la plainte des médias français qu’ils avaient largement contribué à monter contre Meta », a fait savoir le 12 mai dans un post sur LinkedIn Eric Scherer, directeur du MediaLab de l’information et des affaires internationales de France Télévisions. Le groupe de télévision publique fait partie des 67 éditeurs de 200 médias français qui ont porté plainte le 22 avril – devant le tribunal des activités économiques de Paris (ex-tribunal de commerce) – contre les « pratiques illégales » dans la publicité en ligne de Meta Platforms (1), la maison mère de Facebook, Instagram et de WhatsApp. Parmi les plaignants, il y a aussi Radio France, TF1, Le Figaro, RMC BFM, Lagardère (Europe 1, Paris Match, Le JDD), Libération, Ouest France, Centre France, La Voix du Nord, La Dépêche, ou encore Marianne.
Le groupe Les Echos-Le Parisien, dirigé par Pierre Louette, était de la partie et même moteur dans cette action judicaire contre la firme de Mark Zuckerberg. Mais la filiale média de LVMH a donc renoncé en se désolidarisant de ce front commun. Pourquoi ? Eric Scherer avance « un indice » (2) qui n’est autre qu’un (suite)