Cyberlégislation

Source: politico.eu (Sam Clark, 28 janvier 2026) Le directeur exécutif de l’ENISA, Juhan Lepassaar, déclare que l’Union européenne « perd ce jeu » face à un volume et une cadence d’attaques sans précédent, et qu’un simple « upgrade » ne suffira pas: il faut un véritable « rethink » des défenses cyber. ⚠️ Le paysage des menaces s’est durci: des cyberattaques ont paralysé des aéroports, perturbé des élections et mis à mal des hôpitaux. La semaine précédente, des experts ont attribué à la Russie une tentative d’attaque contre le réseau électrique de la Pologne, tandis que la Bundesbank allemande a signalé plus de 5 000 attaques par minute. Ces défis surviennent sur fond de guerre aux frontières de l’UE, de montée en puissance technologique de la Chine et de relations plus tendues avec les États-Unis. ...

Selon Republik (26.01.2026), des représentants de la Chambre de commerce américano-suisse et des acteurs Big Tech intensifient leur lobbying contre des initiatives suisses visant plus de «souveraineté numérique», alors que des autorités testent des alternatives aux clouds américains et durcissent leurs exigences réglementaires. — Contexte et déclencheur 🇨🇭: Sur LinkedIn, l’IT du Obergericht de Zurich a annoncé rejoindre le réseau «Souveräne Digitale Schweiz» (piloté par la Berner Fachhochschule) qui promeut l’indépendance vis-à-vis de Big Tech et teste l’alternative allemande Open Desk. Plusieurs autorités y participent (cantons Berne et Argovie, tribunaux de Bâle-Ville et Zurich, centre informatique du Département fédéral de la justice). Les motifs invoqués incluent les hausses de licences, le cloud obligatoire chez Microsoft et la nécessité de protéger les données sensibles. ...

Selon digital-strategy.ec.europa.eu (DIGIBYTE), la Commission européenne a lancé un appel à contributions sur la future Stratégie européenne des écosystèmes numériques ouverts afin de soutenir la souveraineté technologique de l’UE. L’initiative place l’open source au cœur de l’ambition européenne. Elle prévoit une approche stratégique du secteur open source dans l’UE et la revue de la stratégie 2020-2023 des logiciels libres. Le texte souligne que l’open source sous-tend 70-90% du code de l’économie numérique, tandis que la dépendance aux technologies non-UE limite le choix, affecte la compétitivité et crée des défis pour la cybersécurité. Avec la montée en puissance de l’open source dans des secteurs clés (ex. HPC et edge computing), une stratégie dédiée est jugée critique. ...

Selon un article d’analyse publié le 13 janvier 2026 par Maryam Shoraka, les régulateurs requalifient les décisions d’UX liées aux enfants en responsabilité fiduciaire, transformant les risques de sécurité et de conformité pour les CISOs. Les autorités relient désormais la conception d’interfaces et de paramètres par défaut, les pratiques de collecte/monétisation et la gouvernance des risques. L’Inde (DPDP Act) érige tout acteur en « data fiduciary » avec des devoirs renforcés pour les enfants, l’UE/UK (GDPR, Children’s Code) et le DSA ciblent les designs manipulatoires, tandis que des lois d’États américains évoluent en ce sens. En Australie, l’Online Safety Act 2021, la future Children’s Online Privacy Code (OAIC, d’ici déc. 2026) et des réformes sur les pratiques commerciales déloyales convergent vers une approche hybride privacy+safety+consommateur. ...

Selon EURACTIV.com, la Commission européenne a sommé X (la plateforme d’Elon Musk) de préserver l’ensemble des documents et données internes relatifs au chatbot Grok en vertu des pouvoirs de supervision du Digital Services Act (DSA). L’exécutif européen a demandé à X de conserver « toutes les données » liées à Grok, y compris les documents internes, jusqu’à la fin de 2026 🗃️. Cette injonction intervient alors que Grok est critiqué pour permettre la génération de deepfakes à caractère sexuel, dont des images de femmes et de mineurs partiellement ou totalement dénudés, et pour la diffusion de contenus négationnistes sur l’Holocauste. ...

Selon Ars Technica, l’autorité italienne des communications (AGCOM) a infligé à Cloudflare une amende de 14,2 M€ pour avoir refusé de bloquer des sites « pirates » sur son résolveur DNS 1.1.1.1 en application de la loi Piracy Shield. Cloudflare soutient que filtrer environ 200 milliards de requêtes DNS quotidiennes nuirait à la latence et à la résolution légitime, tandis que l’AGCOM rejette ces arguments, affirmant que les IP ciblées seraient exclusivement dédiées à l’infraction. La sanction, équivalente à 1 % du chiffre d’affaires (le plafond légal étant 2 %), découle d’un ordre de blocage de février 2025. ...

Selon LTO (Legal Tribune Online), le Bundesverfassungsgericht (BVerfG) a, par ordonnance provisoire du 25/11/2025 (1 BvR 2317/25), fait droit au référé de Vodafone et suspendu temporairement l’obligation imposée aux fournisseurs de services de télécommunications de surveiller et d’exploiter toutes les requêtes DNS visant un serveur suspect dans le cadre d’enquêtes pénales. ⚖️ Le point de départ est une série de décisions de l’AG Oldenburg, fondées sur §§ 100a Abs. 1 et 100e StPO, imposant à Vodafone de surveiller et d’enregistrer les requêtes DNS vers un système serveur ciblé, puis de transmettre les données client nécessaires à l’identification des abonnés. Le LG Oldenburg avait rejeté le recours de Vodafone, qui invoquait ses droits fondamentaux (Art. 2 Abs. 1, Art. 10 Abs. 1 et Art. 12 Abs. 1 GG). LTO précise que les infractions visées n’étaient pas qualifiées de graves. ...

Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA. Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩 ...

Selon The Register, le ministère sud-coréen des Sciences et des TIC va imposer la vérification d’identité par reconnaissance faciale pour l’ouverture de nouvelles lignes mobiles, une mesure motivée par la recrudescence des escroqueries liées aux comptes téléphoniques créés avec des données volées. Concrètement, la mesure étend les contrôles existants (présentation de pièces d’identité en point de vente) en y ajoutant la vérification biométrique via les applications « PASS » des trois opérateurs (SK Telecom, LG Uplus, Korea Telecom), où les données faciales seront utilisées pour confirmer l’identité du client. Objectif affiché: rendre beaucoup plus difficile l’enregistrement d’un compte mobile à partir de données volées et freiner des arnaques comme le voice phishing. 📱🔐 ...

Selon The Verge, Google a déposé une plainte contre SerpApi, fournisseur d’outils de scraping web, l’accusant de violer le Copyright Act en accédant et revendant à grande échelle des résultats de recherche Google via des moyens trompeurs. ⚖️ Google affirme que SerpApi a contourné une mesure technique de protection, SearchGuard (déployée en janvier 2025), qui visait à bloquer l’accès automatisé à ses pages de résultats. Après le déploiement de SearchGuard, SerpApi aurait rapidement « trouvé et déployé » des moyens de la contourner, en masquant des centaines de millions de requêtes automatisées par jour pour les faire passer pour du trafic humain, notamment via la création de « faux navigateurs » et l’usage d’une multitude d’adresses IP. 🤖 ...