Sous-traitant et violations de données : la CNIL renforce son attention et établit des recommandations - Veille
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Cybersécurité : plan d’action pour renforcer la Protection numérique de l’État
[30 avril 2026] À l'occasion d'une visite à l'Agence nationale des titres sécurisés (ANTS), le Premier ministre, Sébastien Lecornu, a annoncé un plan d'action face à l'intensification des cyberattaques visant les systèmes d'information de l'État qui subissent depuis début 2026 une moyenne alarmante de trois vols de données par jour. Le plan s'articule autour de trois axes : une nouvelle gouvernance, avec la création d’une autorité numérique de l’État ; des moyens renforcés, via notamment l’affectation des amendes prononcées par la CNIL à un fonds de modernisation des infrastructures numériques de l’État ; et une doctrine de protection affinée, avec des exercices d’auto-attaque et le recours à l’IA pour détecter les vulnérabilités. Au total, 200 millions d’euros d’investissement immédiat. Ce plan témoigne de la volonté du Premier ministre de répondre à la menace cyber croissante, au moyen d’un cadre renforcé doté de moyens inédits.
1.2. Rapport 2025 de l’ANSSI : vers un renforcement ambitieux et stratégique de la cybersécurité française
[4 mai 2026] L’ANSSI a publié le 4 mai 2026 son rapport d’activité 2025 qui met en avant l’intensification de la menace cyber et le renforcement des dispositifs nationaux de cybersécurité dans un contexte géopolitique dégradé. Sur le plan règlementaire, deux avancées majeures avec l’adoption en première lecture de la directive européenne NIS2 et la mise en œuvre du Cyber Resilience Act, visant à instaurer des exigences accrues en matière de sécurité numérique et de recours à des solutions de cybersécurité de confiance. Le rapport souligne le développement des services d’accompagnement de l’ANSSI et son action d’encadrement de l’IA Act, notamment via le projet PANAME lancé en collaboration avec la CNIL. Les chiffres clés : 1 366 incidents de sécurité recensés en 2025, soit +0,4% par rapport à 2024.
Source : Publication du rapport d'activité 2025 de l'ANSSI | ANSSI
1.3. G7 2026 : la CNIL préside la Table ronde internationale sur la protection des données
[6 mai 2026] Du 23 au 26 juin prochains, la CNIL accueillera à Paris la Table ronde des autorités de protection des données et de la vie privée, dans le cadre de la présidence française du G7 en 2026. Créée en 2021, cette réunion annuelle rassemble les autorités compétentes des États membres du G7 et celles de l’Union européenne, afin de renforcer la coopération internationale et promouvoir une protection élevée des données personnelles face aux défis du numérique. Au programme pour 2026 : technologies émergentes, coopération en matière d’application du droit, et libre circulation des données. À l’ère de l’intelligence artificielle, la France entend privilégier une approche fondée sur le dialogue, afin de contribuer à une gouvernance numérique respectueuse des droits et libertés fondamentaux.
1.4. Mirakl lance Trust & Safety : module IA de détection des contenus illicites
[6 mai 2026] Mirakl, spécialiste des marketplaces, lance sa fonctionnalité « Trust & Safety » de détection automatique par IA des produits illicites, contenus sensibles et comportements frauduleux sur ces plateformes. Entre obligations de modération des contenus et de sécurité des consommateurs issues du Digital Services Act, et scandales récents autour de la vente de poupées sexuelles sur Shein et AliExpress, Mirakl vise à offrir une solution proactive de gestion des risques. Plus qu’un simple outil de modération autonome, « Trust & Safety » est intégré nativement aux outils de gestion du catalogue et agit en amont (analyse des annonces avant leur mise en ligne) et en aval (surveillance en continu des catalogues actifs). Cette initiative témoigne des responsabilités pesant désormais sur les acteurs intermédiaires du marché.
Sources :
1.5. Octroi de crédit : publication des recommandations de la CNIL sur l’évaluation de la solvabilité
[7 mai 2026] La CNIL a publié ses recommandations sur l’utilisation des données personnelles pour l'évaluation de la solvabilité dans le cadre de l'octroi de crédit. Dans un contexte où l’évaluation de la solvabilité du demandeur est souvent automatisée (scoring), voire implique l’usage de l’intelligence artificielle, ces recommandations visent à renforcer la transparence des décisions prises par les organismes financiers. Dans la lignée des décisions récentes de la CJUE, confirmant que le scoring est une décision automatisée lorsqu’il joue un rôle déterminant dans l’octroi du crédit, la CNIL tend à encadrer les données traitées, leurs durées de conservation et les garanties applicables à cette pratique (transparence, intervention humaine et explicabilité).
1.6. Non-conformité RGPD : motif de nullité d’un contrat
[7 mai 2026] La Cour d'appel de Douai a prononcé, ce 7 mai 2026, la nullité d'un contrat pour erreur sur ses qualités essentielles en raison de la non-conformité au RGPD du site internet créé en exécution de ce contrat. Alors qu’un client avait confié à un prestataire informatique la conception de son site web, ce dernier ne respectait pas, en pratique, les exigences règlementaires en matière de consentement aux cookies publicitaires. La Cour retient que le client, en recourant à un professionnel, pouvait légitimement attendre la livraison d'un site conforme au RGPD, érigeant ainsi cette conformité au rang de qualité essentielle du contrat. Cette décision s'inscrit dans la continuité d’une tendance jurisprudentielle qui place la conformité RGPD comme condition tacitement convenue entre les parties et constitue un signal fort pour les prestataires numériques, qui se doivent de délivrer des produits et services conformes au RGPD, sous peine de nullité du contrat.
Source : Cour d’appel de Douai, 7 mai 2026, n°22/05075
Pour des décisions similaires, voir Cour d’appel de Lyon, 5 mars 2026, n°24/023 ; Cour d’appel de Bordeaux, 13 mai 2025, n°23/0244 et Cour d’appel de Grenoble, 12 janvier 2023, n°21/03701.
1.7. Lunettes connectées : la CNIL lance son plan d’action
[11 mai 2026] Face à l’essor des lunettes connectées, la CNIL lance son plan d’action afin d’encadrer les importants enjeux de protection de la vie privée qu’elles soulèvent. Ces dispositifs, capables de capter en continu sons, images et données contextuelles via l’IA, présentent des risques indéniables liés à la collecte discrète d’informations concernant tant les utilisateurs que les tiers filmés ou enregistrés à leur insu. La CNIL oriente son plan d’action autour de trois axes : analyses juridiques et techniques de conformité au RGPD, discussions avec ses homologues européens, et actions de sensibilisation. La CNIL établit également des premières recommandations pratiques à destination des utilisateurs, concernant notamment le respect du droit à l’image des personnes apparaissant dans les photos ou vidéos captées.
Sources :
1.8. Données de santé et IA : Docapost Santé ambitionne de devenir un acteur souverain de référence
[11 mai 2026] Docaposte, filiale numérique du groupe La Poste, crée Docaposte Santé avec l’ambition de devenir l’éditeur et l’opérateur de référence du numérique en santé. En réponse aux difficultés structurelles du système de santé, Docaposte cherche à mieux structurer les données, fluidifier les parcours de soins, faciliter la coopération entre les acteurs et intégrer l’intelligence artificielle. Cette initiative porte une approche nouvelle et innovante des systèmes d’information en santé, et tend à améliorer l’accompagnement et à anticiper les besoins, dans un cadre souverain et de confiance. Docaposte Santé se fixe 5 objectifs d’ici 2030, et illustre ainsi la volonté croissante des acteurs publics et privés de concilier innovation technologique, souveraineté numérique et protection renforcée des données de santé.
Sources :
Pour en savoir plus sur les obligations des éditeurs de logiciels en santé, consultez notre article.
1.9. Bilan de la CNIL 2025 : cybersécurité, IA et sanctions au cœur d’une année record
[18 mai 2026] En 2025, l’action de la CNIL continue de s’intensifier avec 20 150 plaintes reçus, 323 contrôles, 259 décisions et 83 sanctions, totalisant plus de 487 millions d’euros d’amendes. La CNIL fait ainsi état d’un nouveau record de plaintes et d’une hausse de 10% par rapport à 2024. Sur le volet de la cybersécurité, les notifications de violation des données, dont une sur deux résultait d’un acte de piratage informatique, sont en hausse de 9,5% avec 6 167 violations de données notifiées à la CNIL en 2025. Ce bilan annuel témoigne d’une vigilance accrue au respect du RGPD et à la protection des données. Pour 2026, la CNIL consacrera la moitié de ses contrôles et actions répressives aux manquements en matière de cybersécurité, renforcera ses actions de sensibilisations et poursuivra ses actions d’encadrement de l’IA.
Pour plus d’informations, consultez notre article.
Source : Rapport annuel : le bilan et les actions marquantes de la CNIL en 2025 | CNIL
1.10. Prestataires d’accompagnement et de conseil en sécurité des systèmes d’information (PACS) : mise à jour référentiel de qualification
[21 mai 2026] L’ANSSI a annoncé le 21 mai 2026 la mise à jour du référentiel pour la qualification des PACS, qui accompagnent les bénéficiaires dans la mise en conformité de leurs systèmes informatiques avec des exigences de sécurité spécifiques (LPM, NIS2, etc.) ou pour atteindre un certain niveau de sécurité. En cohérence avec le Cybersecurity Act, ce nouveau référentiel introduit deux niveaux de qualification, visant à adapter les exigences de sécurité au degré de sensibilité des prestations réalisées. Si le niveau substantiel allège les modalités d'évaluation des consultants, et réduit les délais d'accès aux prestations, le niveau élevé maintient des exigences d’évaluation strictes d’encadrement des risques et menaces stratégiques. Cette mise à jour s’inscrit dans l’évolution du cadre règlementaire en matière de cybersécurité.
Source : Mise à jour du référentiel d’exigences PACS en version 2.0 | ANSSI
1.11. Utilisation d’outil d’IA au travail : la consultation préalable du CSE est obligatoire
[21 mai 2026] La Cour d’Appel de Paris a jugé que le déploiement en entreprise d’outils IA, tels que Chat GPT ou un assistant interne, constitue l'introduction d'une nouvelle technologie susceptible « d'affecter notablement les conditions de travail des salariés », déclenchant à ce titre l’obligation d’information-consultation préalable du CSE. Dès lors qu’aucun logiciel bureautique ne pouvait auparavant prétendre à la reproduction de capacités intellectuelles à la manière des outils d’IA, la Cour a précisé que cette obligation s'impose indépendamment du fait que les salariés aient déjà eu recours de manière informelle à l’IA en question ou que son utilisation soit facultative. Cette décision confirme que le déploiement d’outils enrichis à l’intelligence artificielle en entreprise doit respecter les règles du dialogue social.
Source : Cour d’appel de Paris, 21 mai 2026, n°25/13232
1.12. Recherche en santé : élargissement du champ des méthodologies de références 001 et 003
[26 mai 2026] Après concertation avec les acteurs du secteur, et pour tenir compte des évolutions majeurs du secteur de la santé, la CNIL a mis à jour les méthodologies de référence MR-001 et MR-003 (recherche impliquant la personne humaine, un essai clinique de médicament, une investigation clinique sur un dispositif médical ou une étude des performances d’un dispositif médical de diagnostic in vitro). Ces évolutions visent à élargir le champ des recherches pouvant bénéficier d’une procédure simplifiée d’accès aux données de santé, tout en renforçant les garanties de sécurité, d’exhaustivité et d’exactitude des données collectées et traitées. Elles traduisent la volonté de la CNIL de concilier innovation médicale, valorisation des données de santé, et protection de la vie privée des patients.
1.13. Sous-traitant et violations de données : la CNIL renforce son attention et établit des recommandations
[27 mai 2026] A travers un cas fictif de cyberattaque impliquant un sous-traitant, la CNIL souligne le rôle central de cet acteur dans la sécurité des données personnelles. Elle rappelle que les incidents de cybersécurité touchent fréquemment les prestataires ayant accès aux systèmes d’information ou aux données de leurs clients, ce qui entraîne des conséquences majeures pour l’ensemble de la chaîne contractuelle. En réaction, la CNIL dresse un plan d’actions en cas de violation, précise le rôle d’information et d’accompagnement du sous-traitant, et insiste sur la nécessité de choisir des sous-traitants présentant des garanties suffisantes en matière de sécurité et de conformité au RGPD. Cette position confirme l’importance d’un encadrement contractuel rigoureux des relations entre responsables de traitement et sous-traitants, ces derniers occupant la première ligne en cas de d’incident cyber.
Source : Cyberattaque : le sous-traitant au centre de la crise | CNIL
1.14. Gestion d’entrepôts de données de santé : 5 millions d’euros d’amende à l’encontre de IQVIA
[28 mai 2026] La CNIL a prononcé une amende de 5 millions d’euros à l’encontre de la société IQVIA Operations France, spécialisée dans la réalisation d'études pour des laboratoires pharmaceutiques, pour non-respect des garanties visant à limiter les risques dans le cadre de la gestion d’entrepôts des données de santé de plusieurs dizaines de millions de personnes. L’autorité retient dans sa décision des manquements à l’obligation de respecter les conditions des autorisations délivrées (défaut de sécurité, absence de journalisation des connexions) ainsi qu’à l’obligation d’information des personnes concernées. Point notable : la CNIL a écarté l’argumentation d’IQVIA selon laquelle le RGPD n’était pas applicable dès lors que les données concernées étaient anonymes, estimant que celles-ci étaient seulement pseudonymes puisqu’une réidentification était possible par des moyens raisonnables. Cette décision rappelle l’exigence de protection renforcée applicable aux données de santé.
Pour plus d’information, consultez notre article commentant la décision.
Source : Données de santé : sanction de 5 millions d’euros à l’encontre de la société IQVIA | CNIL
1.15. Informatique en nuage : la CNIL rappelle la qualification des acteurs cloud
[28 mai 2026] Face à la multitude des acteurs et à l’importance de répartir correctement les responsabilités de chacun, la CNIL a publié des orientations destinées à aider les acteurs cloud à identifier leur qualification au regard du RGPD (responsable de traitement, responsable conjoint ou sous-traitant). La CNIL fournit des orientations sur trois volets : la fourniture du service, l’amélioration du service, et la sécurité « du » nuage et « dans » le nuage. Pour chaque cas, une analyse concrète doit être menée car la répartition des rôles varie selon l’initiative et la détermination des moyens. Dans ce contexte, la CNIL illustre ses propos par plusieurs exemples concrets relatifs aux IaaS, PaaS et SaaS. Pour les acteurs du cloud, cette grille de lecture offre un cadre d’analyse concret leur permettant de sécuriser leur conformité au RGPD.
Source : Quelles qualifications pour les acteurs de l’informatique en nuage (cloud) ? | CNIL
2. UNION EUROPEENNE
2.1. Transferts de données vers la Chine : l’autorité irlandaise de protection des données ouvre une enquête à l’encontre de Shein Ireland
[5 mai 2026] Après TikTok, l’autorité irlandaise de protection des données (DPC) ouvre une enquête à l’encontre de Shein Ireland concernant les transferts de données personnelles d’utilisateurs européens vers la Chine. Axée sur plusieurs obligations majeures du RGPD (principes fondamentaux de l’article 5 du RGPD, information des utilisateurs et encadrement des transferts), l’investigation de la DPC vise à déterminer si Shein a mis en place des mécanismes suffisants pour encadrer ces flux hors UE et garantir la sécurité des données. Dans son communiqué, l’autorité irlandaise précise que cette enquête constitue une priorité stratégique majeure et s’inscrit dans une coopération renforcée avec les autres autorités européennes, particulièrement attentives aux transferts de données vers des pays ne bénéficiant pas d’une décision d’adéquation.
Sources :
2.2. Manipulation et profilage des utilisateurs : l’Irlande enquête sur les potentielles violations du DSA par Meta
[5 mai 2026] La Commission des médias irlandaise, régulateur de la radiodiffusion et des médias en ligne, a ouvert deux enquêtes visant Meta au titre des articles 25 et 27 du Digital Services Act. L’objectif de l’enquête : détecter les éventuels dark patterns et interfaces manipulatrices et trompeuses sur Facebook et Instagram, susceptibles d’empêcher les utilisateurs de choisir un système de recommandations qui ne repose pas sur le profilage. La Commission prend acte des préoccupations associées à ces systèmes et des préjudices causés par ces algorithmes, qui peuvent diffuser de façon répétée des contenus préjudiciables dans les flux des utilisateurs. Cette action rappelle les obligations accrues des plateformes en ligne pour garantir la sécurité des utilisateurs.
Source : Two investigations commenced into Meta, in respect of Facebook & Instagram | Coimisiún na Meán
2.3. AI et Digital Omnibus : report de certaines obligations relatives aux systèmes d’IA à haut risque
[7 mai 2026] Présenté en novembre 2025 par la Commission européenne, le paquet numérique « Digital Omnibus », visant à simplifier les règles relatives à l’intelligence artificielle, à la cybersécurité, aux données et à la protection de la vie privée, devrait notamment modifier certaines dispositions de l’IA Act. Dans ce contexte, le Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord provisoire destiné à simplifier et rationaliser plusieurs obligations applicables aux systèmes d’intelligence artificielle, tout en adaptant le calendrier de mise en œuvre du règlement. Les obligations applicables aux systèmes d’IA à haut risque autonomes devraient désormais entrer en vigueur en décembre 2027 (contre août 2026 actuellement), tandis que celles relatives aux systèmes d’IA à haut risque intégrés à des produits seraient reportées à août 2028 (contre août 2027). Si ces échéances venaient à être repoussées, les organisations concernées doivent néanmoins anticiper dès à présent leur mise en conformité.
Sources :
2.4. Mineurs et réseaux sociaux : la Commission européenne pourrait instaurer un âge minimum dès l’été
[12 mai 2026] Dans un contexte de préoccupations croissantes liées à l’exposition des mineurs à des contenus inappropriés et aux risques associés aux réseaux sociaux, accentués par l’intelligence artificielle, la Commission européenne encourage vivement les États membres à déployer une application européenne de vérification de l’âge. Lors d’une intervention à Copenhague, la présidente de la Commission, Ursula von der Leyen, a annoncé la création d’un « groupe spécial d’expert sur la sécurité des enfants en ligne » susceptible de présenter une proposition législative dès cet été. Selon elle, les discussions relatives à l’instauration d’un âge minimum d’accès aux réseaux sociaux ne peuvent plus être écartées. Cette démarche s’inscrit dans la continuité de l’interdiction adoptée par l’Australie en décembre 2025, empêchant les mineurs de moins de 16 ans de détenir ou d’accéder à des comptes sur les réseaux sociaux.
2.5. Maintien de la boîte email d’un salarié après son départ : l’autorité belge de protection des données prononce une sanction de 176.000 euros
[12 mai 2026] L’autorité belge de protection des données a sanctionné d’une amende de 176.000 euros une entreprise pour avoir illégalement conservé la messagerie professionnelle d’un ancien salarié. Entre défaut de base légale et manquement à l’obligation de transparence, l’autorité a estimé que le traitement continu des données personnelles contenues dans cette messagerie, six mois après la fin de la relation de travail, dépassait le cadre autorisé par le RGPD. Si un employeur peut invoquer un intérêt légitime pour maintenir une messagerie active, cela n’est possible que pendant une période transitoire limitée suivant la fin de l’emploi (entre un et trois mois), largement terminée en l’espèce. Cette sanction rappelle aux entreprises la nécessité d’encadrer rigoureusement le maintien des messageries professionnelles suite au départ d’un salarié.
Sources :
2.6. IA Act : la Commission européenne publie son projet de lignes directrices sur la classification des systèmes à haut-risque
[19 mai 2026] Longuement attendu avec l’entrée en vigueur des obligations de l’IA Act applicables aux systèmes d’IA à haut-risque, la Commission européenne a publié le 19 mai 2026 un projet de lignes directrices destinés à aider les acteurs de la chaîne de valeur à classifier leurs systèmes d’IA. Ce document précise l’interprétation de plusieurs notions clés et fournit des exemples pratiques de systèmes relevant, ou non, de la qualification « haut risque ». La Commission européenne a ouvert une consultation publique afin de recueillir les retours des parties prenantes avant l’adoption de la version définitive du texte.
Source : Draft Commission guidelines on the classification of high-risk AI | Commission européenne
2.7. First VPN : démantèlement d’un VPN cybercriminel par Europol
[22 mai 2026] Après une enquête ouverte en décembre 2021, First VPN, un service présenté comme garantissant l’anonymat total des cybercriminels utilisateurs, a été démantelé lors d’une opération internationale concertée sous la direction des autorités françaises et néerlandaises, avec le soutien d’Europol et d’Eurojust. Ce VPN, promu exclusivement sur des forums cybercriminels, permettait à ses utilisateurs d’effacer toute trace en redirigeant leur connexion via des serveurs tiers. Selon les autorités, ce service était profondément ancré dans l’écosystème de cybercriminalité, apparaissant dans presque toutes les enquêtes majeurs menées ces dernières années. Il était notamment utilisé dans des attaques par ransomwares (comme Phobos) ou encore dans des mécanismes de fraudes en ligne. L’opération illustre le renforcement de la coopération internationale en matière de lutte contre la cybercriminalité.
Sources :
2.8. Le RGPD fête ses 10 ans !
[24 mai 2026] À l’occasion des dix ans de l’entrée en vigueur du RGPD, la Commission européenne célèbre les accomplissements de cette loi historique, qui harmonisé les règles de protection des données à caractère personnel des Européens et renforcé leurs droits. Depuis son entrée en vigueur, l’Union européenne est devenue un modèle à l’échelle internationale et a inspiré l’adoption de lois similaires à travers le monde. La Commission rappelle que le RGPD n’est pas un texte isolé, mais s’inscrit dans un ensemble plus large de réglementations numériques européennes destinées à protéger les citoyens en ligne (Digital Market Act, Digital Services Act, IA Act). L’Union européenne réaffirme à cette occasion son ambition de construire un environnement numérique sécurisé au service des citoyens.
Source : Les dix ans du RGPD : vos données, vos droits | Commission européenne
3. INTERNATIONAL
3.1. États-Unis : des failles persistantes dans la protection des données sensibles des sites gouvernementaux
[21 mai 2026] Alors que l’administration Biden avait adopté plusieurs mesures destinées à empêcher certains États étrangers d’acheter des données commerciales recueillies à partir de téléphones portables dans les sites les plus sensibles du gouvernement fédéral, des parlementaires alertent sur les lacunes de ce régime. 736 sites sensibles, dont la Maison Blanche, le Congrès et le siège de la CIA ont été omis et ne figureraient pas parmi les zones bénéficiant d’une protection renforcée. Les membres du Congrès dénoncent le risque que des data brokers commercialisent des informations permettant de retracer les déplacements de responsables gouvernementaux, avec des conséquences potentielles en matière d’espionnage et de sécurité nationale. Entre protection de la vie privée, impératifs de souveraineté et sécurité nationale, ces manquements illustrent la nécessité d’encadrer strictement les transferts de données sensibles.
3.2. Projet Glasswing : Anthropic révèle 10.000 vulnérabilités critiques de cybersécurité
[26 mai 2026] Lancé il y a un mois, le projet Glasswing est une initiative rassemblant les grands noms du numérique (notamment Amazon Web Services, Anthropic, Apple, Cisco, CrowdStrike, Google, et Microsoft) dans le but de sécuriser les logiciels les plus critiques au monde. Dans ce contexte, Anthropic dresse le premier bilan de « Claude Mythos Preview », son dispositif expérimental de détection automatique, grâce à l’IA, des vulnérabilités informatiques. Résultat : plus de 10 000 failles de sécurité, observées sur tous les principaux systèmes d’exploitation et navigateurs web. Cette initiative, qui illustre la capacité croissante de l’IA à automatiser la recherche de vulnérabilités, vise à renforcer les capacités de détection précoce des risques cyber et à accélérer la correction des failles. L’outil demeure toutefois expérimental, et limité à un nombre restreint de partenaires sélectionnés.
Sources :
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
