RGPD

Selon GNT, Florajet, important service français de livraison de fleurs, a subi début mars 2026 une cyberattaque ayant conduit à l’exfiltration et à la mise en vente d’une vaste base de données de commandes. Type d’attaque : accès non autorisé à un outil interne BtoB via les identifiants d’un fleuriste partenaire (chaîne de sous-traitance), ayant permis l’exfiltration de données. Impact : 1,4 million de commandes (2023–2026) compromises, 136 Go de bons de commande PDF. Données volées : noms et prénoms de l’expéditeur et du destinataire, adresses complètes, près de 952 000 numéros de téléphone uniques, et surtout les messages d’accompagnement souvent très intimes (déclarations, excuses, condoléances). Monétisation : base mise en vente sur des forums du dark web. 🌐 L’élément le plus sensible est la divulgation des messages personnels, représentant une atteinte grave à la vie privée au-delà d’une simple fuite de coordonnées. ...

Selon Next (article de Martin Clavey, publié le 27 février), l’ESPCI Paris a informé par email l’ensemble des usagers disposant d’un compte informatique d’une fuite de données personnelles consécutive à un incident interne. 🔐 L’école indique qu’un défaut de contrôle d’accès survenu le jeudi 26 février 2026 a permis à des acteurs non identifiés de moissonner l’annuaire de l’établissement. 📄 Les données concernées comprennent notamment : Civilité, nom et prénom d’usage Courriel professionnel (et éventuellement personnel s’il était renseigné) Données d’identification : nom d’utilisateur (mais pas le mot de passe) Fonction et affectation Photo (sauf si restreinte à l’usage badge) Permissions d’accès aux services et aux locaux Abonnements aux listes de diffusion Pour les étudiants : inscriptions pédagogiques Pour le personnel : employeur, domaine d’activité (BAP, sections CNRS et CNU) Pour le personnel salarié de la régie : corps, date de fin de contrat Pour les prestataires/partenaires/extérieurs : employeur, catégorie socioprofessionnelle 📮 Le responsable du service informatique indique avoir notifié la CNIL conformément à l’article 33 du RGPD, se disant « navré de cet incident », et annonce des mesures de renforcement de la sécurité afin d’éviter qu’un tel scénario se reproduise. ...

Source: CNIL — Le 14 janvier 2026, la Commission Nationale de l’Informatique et des Libertés annonce deux décisions de sanction à l’encontre de Free Mobile et Free, à la suite d’une violation de données d’octobre 2024 ayant exposé des informations relatives à 24 millions de contrats d’abonnés. 🔐 Constat principal: un attaquant s’est infiltré dans les SI des deux sociétés et a accédé à des données personnelles. Des IBAN ont été compromis lorsque les personnes étaient clientes à la fois de Free Mobile et de Free. La CNIL relève des manquements à l’Article 32 du RGPD: authentification VPN insuffisamment robuste (notamment pour le télétravail) et détection inefficace des comportements anormaux. Les mesures de sécurité n’étaient pas adaptées au volume et à la nature des données. Les sociétés ont engagé des renforcements en cours de procédure; la CNIL leur enjoint de finaliser ces mesures sous 3 mois. ...

Selon Clubic, le site e-commerce français Batteriedeportable (batteries et chargeurs) a subi un « accès non autorisé » à son système d’information entre le 8 et le 10 novembre 2025, intrusion détectée le 10 novembre. Les clients ont été informés par e-mail le 28 décembre, soit environ sept semaines après l’incident. Impact et données compromises : l’entreprise indique que des données personnelles ont pu être consultées, notamment : Nom et prénom Date de naissance Adresses postale et électronique Numéros de téléphone (fixe et mobile) L’entreprise précise que « les autres informations ou documents stockés » sur l’espace client ne seraient pas concernés. Rien n’indique que des données bancaires aient été exposées. Réponse de l’entreprise et cadre réglementaire : Batteriedeportable affirme avoir notifié l’ANSSI et la CNIL, puis déposé plainte conformément au RGPD. Certaines fonctionnalités du site ont été temporairement désactivées pour colmater la brèche. L’authentification multi-facteur (MFA) est annoncée « prochainement » pour les comptes clients. L’entreprise revendique plus d’un million de clients en Europe et 645 000 références au catalogue. ...

Source: CNIL — Le 22 décembre 2025, la CNIL a prononcé une amende de 1 700 000 € contre NEXPUBLICA FRANCE (ex-INETUM SOFTWARE FRANCE) pour des mesures de sécurité insuffisantes dans son progiciel PCRM utilisé dans l’action sociale. • Contexte et produit concerné: NEXPUBLICA FRANCE développe le progiciel PCRM, un outil de gestion de la relation avec les usagers, notamment utilisé par des MDPH. Fin novembre 2022, des clients ont notifié à la CNIL des violations de données après que des usagers ont pu accéder à des documents concernant des tiers. ...

Next publie (en accès libre) une enquête initialement parue le 2 juillet 2025 sur l’ampleur des fuites liées à des Google Groupes configurés en lecture publique, entraînant l’exposition de données sensibles depuis parfois près de 20 ans. Le problème est attribué à la mauvaise configuration de la visibilité des groupes: des messages envoyés à une adresse de groupe deviennent lisibles par tous les internautes connectés. Ce phénomène touche des associations, syndics de copropriété, entreprises et établissements de santé. L’historique de Groups (depuis l’intégration de Deja.com en 2001) et la persistance des pièces jointes hébergées par Google aggravent l’exposition 🔓. ...

Source : CNIL — Le 22 décembre 2025, la CNIL explique le règlement européen sur les données (Data Act), qui encadre le partage et l’utilisation des données générées par les objets connectés, en l’articulant avec le RGPD et le DGA. Le Data Act vise une économie de la donnée plus ouverte et compétitive, en fixant des règles équitables d’accès et d’usage pour toutes les données (personnelles ou non) issues des objets connectés et de leurs services associés. Il précise qui peut utiliser quelles données et comment, tout en prévoyant que, en cas de contradiction, le RGPD prévaut dès lors que des données personnelles sont en jeu. Il tient compte du Digital Governance Act (DGA) et de ses intermédiaires de confiance. 📡🧩 ...

Source: CNIL (19 décembre 2025). La CNIL annonce avoir sanctionné MOBIUS SOLUTIONS LTD, ex-sous-traitant de Deezer, à l’origine d’une violation de données notifiée en novembre 2022, pour plusieurs manquements au RGPD en matière de sous-traitance. ⚖️ Décision et contexte. Après des contrôles sur pièces en 2023 et 2024, la formation restreinte de la CNIL inflige une amende de 1 000 000 € et rend publique sa décision, au regard de la gravité des manquements, du nombre de personnes concernées et du chiffre d’affaires de la société. ...

Source: CNIL — La CNIL annonce le 18 décembre 2025 un démonstrateur permettant de naviguer dans la généalogie des modèles d’IA open source afin d’étudier leur traçabilité et d’appuyer l’exercice des droits des personnes (opposition, accès, effacement) lorsque des données personnelles peuvent avoir été mémorisées par ces modèles. 🔎 Contexte et enjeu: La mise à disposition de modèles d’IA en source ouverte favorise leur adoption et leur réutilisation (génération de texte, images, traduction, transcription, etc.). Ces modèles sont souvent modifiés ou spécialisés, puis republis. Chaque modèle s’inscrit ainsi dans une généalogie avec des ascendants (modèles sources) et des descendants (modèles dérivés). La traçabilité devient essentielle pour comprendre comment un modèle a été constitué. ...

Selon BleepingComputer, Experian Netherlands a été condamné à une amende de 2,7 millions d’euros (3,2 millions de dollars) pour plusieurs violations du RGPD ⚖️. L’article indique que la sanction vise la filiale néerlandaise d’Experian et porte sur des manquements multiples au cadre de protection des données personnelles. 💶 Amende de 2,7 millions d’euros contre Experian Pays-Bas pour violation du RGPD L’Autorité néerlandaise de protection des données (AP) a infligé une amende de 2,7 millions d’euros (3,2 M$) à Experian Pays-Bas pour plusieurs violations du Règlement général sur la protection des données (RGPD). Le géant du crédit et de l’analyse de données a illégalement utilisé des informations personnelles collectées auprès de sources publiques et privées, sans en informer les personnes concernées. ...