RGPD

Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance. ⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société. ...

Source: CNIL — La CNIL annonce le 18 décembre 2025 un démonstrateur permettant de naviguer dans la généalogie des modèles d’IA open source afin d’étudier leur traçabilité et d’appuyer l’exercice des droits des personnes (opposition, accès, effacement) lorsque des données personnelles peuvent avoir été mémorisées par ces modèles. 🔎 Contexte et enjeu: La mise à disposition de modèles d’IA en source ouverte favorise leur adoption et leur réutilisation (génération de texte, images, traduction, transcription, etc.). Ces modèles sont souvent modifiés ou spécialisés, puis republis. Chaque modèle s’inscrit ainsi dans une généalogie avec des ascendants (modèles sources) et des descendants (modèles dérivés). La traçabilité devient essentielle pour comprendre comment un modèle a été constitué. ...

Selon BleepingComputer, Experian Netherlands a été condamné à une amende de 2,7 millions d’euros (3,2 millions de dollars) pour plusieurs violations du RGPD ⚖️. L’article indique que la sanction vise la filiale néerlandaise d’Experian et porte sur des manquements multiples au cadre de protection des données personnelles. 💶 Amende de 2,7 millions d’euros contre Experian Pays-Bas pour violation du RGPD L’Autorité néerlandaise de protection des données (AP) a infligé une amende de 2,7 millions d’euros (3,2 M$) à Experian Pays-Bas pour plusieurs violations du Règlement général sur la protection des données (RGPD). Le géant du crédit et de l’analyse de données a illégalement utilisé des informations personnelles collectées auprès de sources publiques et privées, sans en informer les personnes concernées. ...

Selon therecord.media (Suzanne Smalley, 10 octobre 2025), l’autorité autrichienne de protection des données (DSB) a jugé que Microsoft a illégalement suivi des élèves via Microsoft 365 Education en utilisant des cookies sans consentement et en ne donnant pas accès aux données. Cette décision fait suite à une plainte déposée en 2024 par le groupe de défense de la vie privée noyb, après qu’un père d’élève s’est plaint de l’absence de consentement aux cookies et de l’impossibilité d’obtenir des informations sur l’utilisation des données de son enfant. 🏫🔐 ...

Selon Cybernews (29 septembre 2025), Noyb, ONG de défense de la protection des données en Europe, a déposé une plainte contre Whitebridge AI, une société basée en Lituanie, pour la vente de « rapports de réputation » générés par IA. La plainte accuse l’entreprise d’avoir scrapé des données de réseaux sociaux pour composer des rapports de réputation contenant des données sensibles: traits de personnalité, conseils de conversation, photos récupérées en ligne, croyances religieuses, consommation d’alcool, comportements « toxiques », presse négative, et signalements pour « contenu politique dangereux » ou « nudité sexuelle ». ...

Selon Bridewell, la Cour générale de l’Union européenne a confirmé la validité du Data Privacy Framework (DPF) UE–États-Unis, préservant une voie légale pour transférer des données personnelles depuis l’UE vers des organisations américaines certifiées. L’analyse souligne que cette décision apporte une certitude à court terme aux entreprises, mais rappelle l’historique de contestations de cadres similaires, incitant à ne pas se reposer exclusivement sur le DPF. Elle recommande de mettre en place des mécanismes de transfert alternatifs comme les Clauses Contractuelles Types (SCCs) en solution de secours, de réaliser des Transfer Impact Assessments (TIAs) ou Transfer Risk Assessments (TRAs), et d’assurer une veille réglementaire continue pour maintenir la conformité et la continuité d’activité. ...

Source: ZATAZ (21 août 2025). Le média spécialisé rapporte qu’Auchan a été victime d’une nouvelle cyberattaque visant les données personnelles rattachées aux comptes de fidélité Waaoh. L’incident a exposé des informations telles que la civilité, le nom, le prénom, les adresses email et postale, le numéro de téléphone et le numéro de carte fidélité. Les données bancaires, mots de passe et codes PIN ne seraient pas concernés. L’intrusion n’a pas encore été médiatisée au moment de la publication. ...

L’article provient de Security Week et traite d’une nouvelle enquête de la Commission irlandaise de protection des données concernant TikTok. Contexte : TikTok, une application de partage de vidéos détenue par ByteDance en Chine, est sous le feu des critiques en Europe pour sa gestion des données personnelles des utilisateurs. L’Irlande, en tant que siège européen de TikTok, est responsable de la régulation de la vie privée des données de l’entreprise dans l’UE. ...

Le média The Record rapporte qu’un tribunal à Leipzig a rendu un jugement contre Meta, condamnant l’entreprise à verser 5 000 € à un utilisateur allemand de Facebook. Cette décision fait suite à une plainte concernant l’intégration par Meta de technologies de suivi dans des sites web tiers, sans le consentement explicite des utilisateurs. Cette affaire pourrait potentiellement ouvrir la voie à d’autres poursuites similaires, car elle met en lumière les pratiques de suivi des utilisateurs par des géants de la technologie, souvent critiquées pour leur manque de transparence et de respect de la vie privée. ...

DeepSpecter.com a mené une enquête approfondie révélant une exposition de données sur plusieurs années impliquant Uffizio, un fournisseur de logiciels pour une plateforme de gestion de flotte GPS largement utilisée. Malgré une conformité revendiquée au RGPD, le logiciel d’Uffizio et son déploiement par des centaines de revendeurs mondiaux ont laissé fuiter des données sensibles de flotte dans au moins 12 pays pendant plus de cinq ans, même après une divulgation publique de CVE et un audit interne de conformité RGPD. ...