RGPD

Source: CNIL — Le 14 janvier 2026, la Commission Nationale de l’Informatique et des Libertés annonce deux décisions de sanction à l’encontre de Free Mobile et Free, à la suite d’une violation de données d’octobre 2024 ayant exposé des informations relatives à 24 millions de contrats d’abonnés. 🔐 Constat principal: un attaquant s’est infiltré dans les SI des deux sociétés et a accédé à des données personnelles. Des IBAN ont été compromis lorsque les personnes étaient clientes à la fois de Free Mobile et de Free. La CNIL relève des manquements à l’Article 32 du RGPD: authentification VPN insuffisamment robuste (notamment pour le télétravail) et détection inefficace des comportements anormaux. Les mesures de sécurité n’étaient pas adaptées au volume et à la nature des données. Les sociétés ont engagé des renforcements en cours de procédure; la CNIL leur enjoint de finaliser ces mesures sous 3 mois. ...

Selon Clubic, le site e-commerce français Batteriedeportable (batteries et chargeurs) a subi un « accès non autorisé » à son système d’information entre le 8 et le 10 novembre 2025, intrusion détectée le 10 novembre. Les clients ont été informés par e-mail le 28 décembre, soit environ sept semaines après l’incident. Impact et données compromises : l’entreprise indique que des données personnelles ont pu être consultées, notamment : Nom et prénom Date de naissance Adresses postale et électronique Numéros de téléphone (fixe et mobile) L’entreprise précise que « les autres informations ou documents stockés » sur l’espace client ne seraient pas concernés. Rien n’indique que des données bancaires aient été exposées. Réponse de l’entreprise et cadre réglementaire : Batteriedeportable affirme avoir notifié l’ANSSI et la CNIL, puis déposé plainte conformément au RGPD. Certaines fonctionnalités du site ont été temporairement désactivées pour colmater la brèche. L’authentification multi-facteur (MFA) est annoncée « prochainement » pour les comptes clients. L’entreprise revendique plus d’un million de clients en Europe et 645 000 références au catalogue. ...

Source: CNIL — Le 22 décembre 2025, la CNIL a prononcé une amende de 1 700 000 € contre NEXPUBLICA FRANCE (ex-INETUM SOFTWARE FRANCE) pour des mesures de sécurité insuffisantes dans son progiciel PCRM utilisé dans l’action sociale. • Contexte et produit concerné: NEXPUBLICA FRANCE développe le progiciel PCRM, un outil de gestion de la relation avec les usagers, notamment utilisé par des MDPH. Fin novembre 2022, des clients ont notifié à la CNIL des violations de données après que des usagers ont pu accéder à des documents concernant des tiers. ...

Next publie (en accès libre) une enquête initialement parue le 2 juillet 2025 sur l’ampleur des fuites liées à des Google Groupes configurés en lecture publique, entraînant l’exposition de données sensibles depuis parfois près de 20 ans. Le problème est attribué à la mauvaise configuration de la visibilité des groupes: des messages envoyés à une adresse de groupe deviennent lisibles par tous les internautes connectés. Ce phénomène touche des associations, syndics de copropriété, entreprises et établissements de santé. L’historique de Groups (depuis l’intégration de Deja.com en 2001) et la persistance des pièces jointes hébergées par Google aggravent l’exposition 🔓. ...

Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA. Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩 ...

Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance. ⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société. ...

Source: CNIL — La CNIL annonce le 18 décembre 2025 un démonstrateur permettant de naviguer dans la généalogie des modèles d’IA open source afin d’étudier leur traçabilité et d’appuyer l’exercice des droits des personnes (opposition, accès, effacement) lorsque des données personnelles peuvent avoir été mémorisées par ces modèles. 🔎 Contexte et enjeu: La mise à disposition de modèles d’IA en source ouverte favorise leur adoption et leur réutilisation (génération de texte, images, traduction, transcription, etc.). Ces modèles sont souvent modifiés ou spécialisés, puis republis. Chaque modèle s’inscrit ainsi dans une généalogie avec des ascendants (modèles sources) et des descendants (modèles dérivés). La traçabilité devient essentielle pour comprendre comment un modèle a été constitué. ...

Selon BleepingComputer, Experian Netherlands a été condamné à une amende de 2,7 millions d’euros (3,2 millions de dollars) pour plusieurs violations du RGPD ⚖️. L’article indique que la sanction vise la filiale néerlandaise d’Experian et porte sur des manquements multiples au cadre de protection des données personnelles. 💶 Amende de 2,7 millions d’euros contre Experian Pays-Bas pour violation du RGPD L’Autorité néerlandaise de protection des données (AP) a infligé une amende de 2,7 millions d’euros (3,2 M$) à Experian Pays-Bas pour plusieurs violations du Règlement général sur la protection des données (RGPD). Le géant du crédit et de l’analyse de données a illégalement utilisé des informations personnelles collectées auprès de sources publiques et privées, sans en informer les personnes concernées. ...

Selon therecord.media (Suzanne Smalley, 10 octobre 2025), l’autorité autrichienne de protection des données (DSB) a jugé que Microsoft a illégalement suivi des élèves via Microsoft 365 Education en utilisant des cookies sans consentement et en ne donnant pas accès aux données. Cette décision fait suite à une plainte déposée en 2024 par le groupe de défense de la vie privée noyb, après qu’un père d’élève s’est plaint de l’absence de consentement aux cookies et de l’impossibilité d’obtenir des informations sur l’utilisation des données de son enfant. 🏫🔐 ...

Selon Cybernews (29 septembre 2025), Noyb, ONG de défense de la protection des données en Europe, a déposé une plainte contre Whitebridge AI, une société basée en Lituanie, pour la vente de « rapports de réputation » générés par IA. La plainte accuse l’entreprise d’avoir scrapé des données de réseaux sociaux pour composer des rapports de réputation contenant des données sensibles: traits de personnalité, conseils de conversation, photos récupérées en ligne, croyances religieuses, consommation d’alcool, comportements « toxiques », presse négative, et signalements pour « contenu politique dangereux » ou « nudité sexuelle ». ...