Cyberlégislation

Contexte — Foreign, Commonwealth & Development Office (gov.uk), 9 décembre 2025 : le gouvernement britannique annonce des sanctions contre deux entreprises basées en Chine, accusées de mener ou de faciliter des opérations de cyberattaque à grande échelle. 🛡️ Le Royaume-Uni sanctionne i‑Soon (Sichuan Anxun Information Technology Co. Ltd) pour avoir ciblé plus de 80 systèmes informatiques gouvernementaux et privés à travers le monde, ainsi que pour avoir soutenu d’autres acteurs malveillants. Integrity Technology Group Incorporated (Integrity Tech) est sanctionnée pour avoir contrôlé et géré un réseau clandestin et fourni une assistance technique à des tiers pour mener des cyberattaques, incluant des cibles du secteur public britannique. ...

Source: noyb.eu (billet de blog de Max Schrems). Contexte: l’auteur estime que l’instabilité croissante du système juridique américain et une hostilité ouverte envers l’UE mettent en péril les transferts de données UE–US. Les mécanismes actuels, TADPF et SCCs/BCRs, reposent sur un patchwork fragile de textes, pratiques et jurisprudences; la défaillance d’un seul élément pourrait faire s’effondrer l’ensemble du dispositif ⚖️. Premier point de rupture probable: indépendance de la FTC. Une affaire devant la Cour suprême (Trump v. Slaughter) pourrait consacrer la théorie de l’exécutif unitaire, rendant inconstitutionnelles les autorités exécutives réellement indépendantes. Or le TADPF s’appuie sur la FTC comme autorité indépendante pour l’application, exigence correspondant à l’article 8(3) de la Charte des droits fondamentaux de l’UE. Un arrêt attendu au plus tard en juin/juillet 2026 pourrait remettre en cause ce pilier. Des bascules vers SCCs ou BCRs sont évoquées, mais avec des questions majeures sur les données déjà transférées 🔒. ...

Selon un article publié le 7 décembre 2025 par Bill Toulas, le Portugal a actualisé sa loi sur la cybercriminalité pour créer une exemption pénale (« safe harbor ») en faveur de la recherche en sécurité menée de bonne foi. Le nouveau Article 8.º-A – « Actes non punissables en raison de l’intérêt public en cybersécurité » définit un cadre légal protégeant les actions auparavant qualifiées d’accès illégal ou d’interception illégale de données, lorsqu’elles sont réalisées dans le but d’identifier des vulnérabilités et de contribuer à l’amélioration de la cybersécurité. Les actes avec consentement du propriétaire du système sont aussi exemptés, avec obligation de signalement. ...

Selon l’article, le Conseil de l’UE a arrêté sa position sur le règlement « Chat Control » après des années de débats, retirant l’obligation de scanner les messages chiffrés de bout en bout et affichant un langage fort en faveur du chiffrement. Bonne nouvelle: la partie la plus controversée — l’obligation de scanner les messages chiffrés — est retirée, avec des garanties verbales que le chiffrement ne peut pas être affaibli ou contourné 🔒. ...

Selon TechCrunch, le ministère indien des Télécoms a annoncé qu’il ne rendrait finalement pas obligatoire la préinstallation de Sanchar Saathi, une app d’anti-vol et de protection cybersécurité, sur tous les smartphones, revenant sur une directive récente qui avait suscité un vif débat autour de la vie privée et de l’accès étatique aux appareils. Le ministère a indiqué que l’app resterait volontaire, alors qu’une note antérieure demandait aux fabricants d’intégrer l’app au système et d’en rendre les fonctionnalités « non désactivables ». Cette contradiction a nourri la confusion: le ministre des Télécoms affirmait que les utilisateurs pourraient la supprimer, tandis que le document adressé aux fabricants imposait l’inverse. 📱🔒 ...

Source citée : Juge fédérale américaine Ona Wang. Contexte : litige pour droit d’auteur opposant le New York Times à OpenAI devant un tribunal fédéral à Manhattan, portant notamment sur la production de journaux de discussion d’utilisateurs de ChatGPT. La décision. La juge Ona Wang a rejeté les objections d’OpenAI relatives à la confidentialité et ordonné la remise de 20 millions de conversations ChatGPT, jugées pertinentes pour les revendications des médias. Elle souligne l’existence de plusieurs niveaux de protection et d’une « dépersonnalisation exhaustive » pour atténuer les risques liés à la vie privée. OpenAI doit produire ces journaux dans un délai de sept jours après suppression des informations identifiantes, la juge estimant que cette remise ne porte pas atteinte à la vie privée des utilisateurs. ...

Selon Politico.eu, un groupe transpartisan de 38 eurodéputés va demander à la présidente du Parlement européen de remplacer les logiciels de Microsoft et certains équipements Dell, HP et LG par des alternatives européennes, au nom de la souveraineté et de la sécurité numériques, dans un contexte de pressions et de concessions numériques discutées avec les États-Unis à Bruxelles. Les signataires estiment que la domination de quelques géants technologiques américains constitue une vulnérabilité stratégique pour l’Europe, pouvant être « coupée, surveillée ou instrumentalisée politiquement » du jour au lendemain. Ils affirment que le Parlement, avec ses moyens, peut « galvaniser » une transition vers des solutions européennes et « cesser de canaliser des milliards d’argent public à l’étranger ». ...

Source: Commission européenne (DG for Digital Services) — Contexte: publication du « Cloud Sovereignty Framework » v1.2.1 (octobre 2025), définissant objectifs, niveaux d’assurance et méthode de scoring pour évaluer la souveraineté des services cloud dans les procédures de marchés publics. Le document précise 8 objectifs de souveraineté (SOV-1 à SOV-8) s’appuyant sur des référentiels et initiatives européens (CIGREF v2, Gaia-X, ENISA/NIS2/DORA) et sur des retours d’expérience nationaux (France « Cloud de Confiance », Allemagne « Souveräner Cloud »). Les objectifs couvrent: ...

Selon BleepingComputer, le Royaume-Uni a introduit une nouvelle législation visant à renforcer les défenses de cybersécurité des hôpitaux, des systèmes énergétiques, des approvisionnements en eau et des réseaux de transport, face à des cyberattaques dont les dommages annuels sont estimés à près de 15 Md£ (19,6 Md$). Le Royaume-Uni a présenté le Cyber Security and Resilience Bill, une réforme majeure visant à renforcer la cybersécurité des infrastructures critiques telles que les hôpitaux, les réseaux d’énergie, l’eau et les transports. Cette initiative répond à l’augmentation des cyberattaques, dont le coût annuel est estimé à près de 15 milliards de livres. ...

Selon KrebsOnSecurity, le gouvernement des États-Unis préparerait une mesure visant à interdire la vente de routeurs sans fil et d’autres équipements réseau fabriqués par TP-Link Systems. es autorités américaines envisagent une interdiction nationale de vente des routeurs et équipements réseau TP-Link Systems, soupçonnant des risques liés à l’influence du gouvernement chinois. Cette mesure, soutenue par plusieurs agences fédérales, viserait un acteur dominant du marché — près de 50 % des foyers et petites entreprises américaines utilisent du matériel TP-Link. ...