Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
[3 juin 2026] Par un arrêt du 3 juin 2026, la Cour de cassation a rejeté les demandes de suppression, d'anonymisation et de désindexation formulées par un ancien dirigeant sportif reconnu coupable de complicité d'abus de confiance, dont la condamnation était relatée dans un article de 20 Minutes paru en 2009. Appliquant les sept critères dégagés par la CEDH dans l'arrêt Hurbain c. Belgique (2023), la Cour de cassation privilégie la liberté de la presse au droit à l'effacement prévu par le RGPD, jugeant l'identité de la personne indissociable de la valeur informationnelle de l'article. L'anonymisation est ainsi considérée aussi attentatoire à la liberté d'information que la suppression du contenu. Il ressort de cette affaire que les demandes adressées aux éditeurs de presse relèvent d'une appréciation distincte de celles visant les moteurs de recherche.
Sources :
[8 juin 2026] À l’occasion de la présidence française du G7, l’ANSSI a renforcé son action sur le front diplomatique et opérationnel de la cybersécurité. Elle a notamment accueilli à Paris la réunion plénière du Groupe de travail sur la cybersécurité, consacrée à la transition post-quantique, à l'intelligence artificielle, ainsi qu'à la cybersécurité d1es PME et du secteur des télécommunications. Deux livrables y ont été salués : un référentiel établissant des lignes directrices pour la transparence de la chaîne d'approvisionnement logicielle de l'IA (« SBOM for AI »), et une déclaration sur la migration vers la cryptographie post-quantique, destinée aux entreprises. Par ailleurs, dans le cadre du Sommet d’Evian (15 au 17 juin 2026), l’ANSSI a accompagné les organisateurs pour faire face aux risques accrus d'espionnage, de déstabilisation et d'extorsion, dans un contexte de fortes tensions géopolitiques. Cette collaboration de l’ANSSI à l’occasion du G7 démontre l’importance de la cybersécurité.
Source :
[9 juin 2026] La directive NIS 2, qui étend les obligations de cybersécurité à plus de 15 000 entités dans 18 secteurs (contre 300 entités sous NIS 1) et prévoit gestion des risques cyber, délais stricts de notification des incidents et responsabilité personnelle des dirigeants n’a toujours pas été transposée en France. Vingt mois après l'expiration de son délai de transposition en octobre 2024, la Commission européenne s'apprête à saisir la CJUE contre la France, au terme d'une procédure d'infraction engagée en 2024. Le projet de transposition, déjà adopté par le Sénat, est bloqué depuis près de nombreux mois devant l’Assemblée nationale en raison d'un désaccord avec la DGSI. Alors que certains députés alertent sur l’urgence de son adoption, la France s'expose aujourd’hui à une amende forfaitaire et/ou une astreinte journalière de plusieurs millions d'euros, et à une perte d'influence dans les négociations à venir sur la révision de NIS 2. Paradoxalement, le gouvernement a présenté en avril 2026 une feuille de route cybersécurité largement alignée sur les principes de NIS 2.
[9 juin 2026] Tchap, la messagerie interministérielle française, a récemment été victime d'une cyberattaque par usurpation de compte. Bilan : l'accès à plus de 643 000 messages, 59 000 fichiers et 73 000 comptes d'agents à partir d'un unique compte compromis est revendiqué. La Direction interministérielle du numérique (Dinum) assure toutefois que le chiffrement des conversations privées n’a pas été affecté, et que les données exfiltrées se limitent aux « salons publics ». Quelques jours plus tard, c’est la plateforme de bénévolat JeVeuxAider.gouv.fr qui a été touchée, avec la compromission de 550 000 comptes. Ces incidents s’inscrivent dans un contexte de multiplication des attaques contre les services publics, après l’ANTS en avril 2026. Face à cette menace, l’État a débloqué en urgence 200 millions d’euros le mois dernier pour renforcer sa cybersécurité, somme que la ministre déléguée chargée de l’IA et du Numérique estime déjà insuffisante.
Sources :
[10 juin 2026] A travers deux fiches pratiques, la CNIL rappelle les règles encadrant les communications des entreprises vers leurs prospects et clients. Pour les communications électroniques, la CNIL distingue trois régimes selon la finalité du message : la prospection commerciale (consentement préalable en B to C, ou intérêt légitime en B to B), les communications transactionnelles (fondées sur l’exécution du contrat), et les communications relationnelles (fondées sur l'intérêt légitime). Dans tous les cas, les personnes concernées doivent être informées clairement de l’utilisation de leurs données et pouvoir y consentir ou s’opposer simplement. Second volet : à compter du 11 août 2026, le démarchage téléphonique B to C basculera lui aussi vers un régime de consentement préalable, sauf appel portant sur un contrat en cours. Le régime B to B restera, quant à lui, fondé sur l'intérêt légitime assorti d'un droit d'opposition. Ces rappels invitent les entreprises à auditer dès maintenant l'ensemble de leurs pratiques de communication.
Sources :
[10 juin 2026] À l'issue d'un appel lancé par l'ANSSI en août 2025, la CCI Lyon Métropole Saint-Étienne Roanne a été mandatée pour opérer le CSIRT Auvergne-Rhône-Alpes, baptisé « Cyber Assistance Auvergne-Rhône-Alpes », en partenariat technique avec Orange Cyberdefense. Ouvert à toute structure régionale (TPE, PME, ETI, collectivités, associations), il assure un premier niveau de prise en charge des incidents cyber : qualification de l'alerte, diagnostic initial, et accompagnement au dépôt de plainte, avant escalade vers Orange Cyberdefense pour les incidents complexes. Ce dispositif s'inscrit dans le déploiement national des CSIRT régionaux piloté par l'ANSSI, au service des structures dépourvues de ressources face à la menace cyber.
Source : La région Auvergne-Rhône-Alpes se dote d’un centre d’assistance régional | L’Informaticien
[15 juin 2026] Noms, adresses, IBAN, données médicales : près de 1,2 milliard de données personnelles volées ont été rendues accessibles via Searcher, un moteur de recherche créé par un adolescent de 18 ans. La plateforme agrège des données issues de piratages, tel que celui subi par l’ANTS, puis les croise avec des sources publiques afin de pouvoir retrouver en quelques secondes les informations de millions de Français. La CNIL a dénoncé un recel de données issues de cyberattaques, en violation du RGPD et du Code pénal, et a rejeté l’argument selon lequel les bases de données volées seraient « publiques » dès lors qu’elles circulent en ligne. La ministre déléguée au Numérique a saisi la justice et une enquête préliminaire a été ouverte. Cette affaire démontre que les données personnelles dérobées continuent de circuler bien après une cyberattaque, exposant durablement les victimes.
[16 juin 2026] À la veille de l’ouverture du salon Vivatech, le Premier ministre Sébastien Lecornu a annoncé une enveloppe de 655 millions d'euros dans le cadre du grand plan d’investissement France 2030. Ce montant est destiné à soutenir les infrastructures liées à l'IA. L’objectif affiché : privilégier les solutions françaises et européennes, afin de limiter la dépendance aux technologies étrangères. Cette volonté se traduit notamment par le remplacement de l'américain Palantir par la française ChapsVision comme plateforme de traitement et d’exploitation de données de la DGSI, ou encore le lancement de « l’Assistant », IA conçue par la Dinum avec Mistral IA pour l’ensemble des agents de l’État. Cette annonce intervient alors que les tensions autour de la souveraineté numérique s’intensifient et après la suspension de certains modèles d’Anthropic par le gouvernement américain. De leur côté, les États-Unis poursuivent déjà une stratégie d’investissement massif dans l’IA à travers le projet Stargate, qui prévoit jusqu’à 500 milliards d’investissements sur quatre ans.
Sources :
[17 juin 2026] Dans un litige relatif à l'élection de l'administrateur représentant les salariés actionnaires d'Orange, la société avait versé aux débats un rapport du cabinet EY analysant des métadonnées de courriels et des listes électorales contenant des données personnelles. Faute pour Orange d’avoir informé les salariés de ce traitement de données, les demandeurs soutenaient son illicéité et partant l’irrecevabilité de la preuve. Après avoir rappelé le principe jurisprudentiel sur la preuve illicite ou déloyale, pouvant être admise lorsqu’elle est indispensable et que l’atteinte est strictement proportionnée, la Cour de cassation valide la production du rapport à titre de preuve. En l’occurrence, EY avait pseudonymisé l’ensemble des données personnelles utilisées, détruit les données initiales et réalisé une analyse purement volumétrique n’ayant donné lieu à aucun fichier nominatif. Ainsi, l'atteinte à la confidentialité et à la liberté syndicale étant extrêmement limitée, la production du rapport était justifiée et proportionnée à la nécessité, pour la société, de se défendre en justice.
Source : Cour de cassation, chambre commerciale, 17 juin 2026, n°25-11.499
[18 juin 2026] Un cybercriminel propose à la vente sur le dark web plus de 250 000 copies de passeports et cartes nationales d'identité françaises, au format exploitable. Le cybercriminel, qui a récemment revendiqué plusieurs attaques contre des entreprises françaises, aurait accumulé ces documents via plusieurs fuites de plateformes procédant à des vérifications d'identité. Les victimes s’exposent à des conséquences durables : usurpations d’identités, crédits contractés à leur nom, phishing ciblé. Pour toute entité collectant de tels documents, cette affaire rappelle que la conservation de ces documents constitue un risque juridique et opérationnel de premier ordre et que des mesures de sécurité strictes doivent impérativement être mises en œuvre.
[19 juin 2026] Dans une fiche pratique, la CNIL publie douze recommandations essentielles pour rappeler aux organisations leurs obligations de protection des données et leur exposition aux risques cyber quelle que soit leur taille. Ces prescriptions peuvent être mise en place sans moyens techniques avancés : mots de passe solides, double authentification, mises à jour automatiques, ou encore sauvegardes hors site. La CNIL insiste sur le « réflexe RGPD », qui inclut la minimisation des données collectées et la limitation de leur durée de conservation. En cas de violation, les réflexes clés sont simples : isoler la machine touchée sans l'éteindre, ne pas payer de rançon, et notifier la CNIL si des données personnelles sont concernées. Le message est clair pour les entreprises, qui sont invitées à anticiper les risques et à sécuriser sans tarder les outils qu’elles utilisent.
Source : Sécurité des données: les règles essentielles pour protéger les données et votre activité | CNIL
1.12. Protection des mineurs en lignes : adoption de principes communs clé par les autorités de protection des données du G7
[26 juin 2026] La rencontre des autorités de protection des données des pays du G7, les 25 et 26 juin 2026, a porté sur les sujets clés de protection des mineurs en ligne, technologies émergentes, libre circulation des données et coopération en matière d’application de la loi. A l’issue de leur réunion, ces autorités ont adopté trois documents : un communiqué commun général, une déclaration sur la vérification de l'âge et un document conjoint sur les objets connectés dans le domicile et la protection des mineurs. Cette documentation, qui insiste sur les principes clés de protection des données et bonnes pratiques en matière de vie privée, renforce la coopération internationale. Des échanges ont également été organisés sur l’utilisation des lunettes connectées, l’IA agentique et les risques liés aux décisions automatisées réduisant l’intervention humaine. La prochaine table ronde se tiendra aux États-Unis en 2027, sous la présidence de la Commission fédérale du commerce américaine (FTC).
[1er juin 2026] L'autorité de protection des données espagnole a infligé une amende de 650.000 € à Iberia à la suite d'une violation de données datant de février 2023 chez l'un de ses sous-traitants. Cette violation a conduit à l'accès non autorisé et à l'exfiltration de données personnelles de salariés et de représentants de clients dans plusieurs États membres. L'autorité a retenu le non-respect des principes d'intégrité et de confidentialité du RGPD, et a reproché l'absence d'analyse de risques suffisante, des lacunes dans la protection des identifiants, et un défaut de surveillance qui a permis l’accès à l'infrastructure compromise pendant plus d'un mois et demi. Cette décision rappelle qu'un responsable de traitement ne peut s'exonérer de sa responsabilité en invoquant la faute de son sous-traitant, et doit démontrer la mise en place de mesures de sécurité adaptées.
Source : AEPD (Spain) - PS-00437-2024 | GDPRHub
[3 juin 2026] Le 3 juin 2026, la High Court irlandaise a rejeté l'essentiel de l'appel de TikTok contre la décision de l’autorité de protection des données irlandaise (DPC) du 30 avril 2025, qui avait sanctionné la plateforme d'une amende de 530 millions d'euros pour violation du RGPD, à la suite de transferts de données d'utilisateurs européens vers la Chine. La Cour confirme deux manquements au RGPD : absence de garanties appropriées et défaut de transparence. Les juges irlandais rappellent d’abord qu’il appartient au responsable de traitement de documenter son évaluation du niveau de protection effectif des données dans le pays destinataire, notamment en cas de contrôle par une autorité qui pourrait sanctionner les lacunes de celle-ci. En matière de transparence, la Cour confirme que le RGPD impose d'identifier expressément les pays tiers destinataires des données dans sa politique de confidentialité. Pour toute entreprise transférant des données hors EEE, cette décision rappelle l'exigence de « vérifier, garantir et démontrer » la robustesse de toute analyse d’impact des transferts, sous peine de lourdes sanctions.
Sources :
[4 juin 2026] Par une ordonnance du 4 juin 2026, le président de la CJUE admet la recevabilité de la demande d'intervention de Microsoft au soutien de la Commission européenne, dans l'appel formé par le député Philippe Latombe contre le Data Privacy Framework (affaire C-703/25 P), troisième décision d'adéquation encadrant les transferts de données entre l’UE et les États-Unis. Alors que le Tribunal de l’UE avait rejeté le recours en annulation de ce mécanisme en septembre 2025, Philippe Latombe a récemment fait appel de cette décision. C’est dans le cadre de cette procédure que Microsoft a sollicité d’intervenir pour soutenir les conclusions de la Commission européenne. Microsoft justifiant d’un intérêt direct est actuel à la solution du litige, puisqu’elle fonde pour ses propres besoins et ceux de ses clients de nombreux transferts vers les États-Unis sur le Data Privacy Framework, le président de la CJUE a admis cette intervention. Microsoft pourra ainsi avoir accès à tous les documents de procédure, soumettre ses propres déclarations écrites et participer aux audiences orales. Par cette intervention, l’un des GAFAM vient renforcer sensiblement la position de la défense pour tenter de maintenir le Data Privacy Framework.
Sources :
[9 juin 2026] La Cour administrative fédérale autrichienne a confirmé la décision de l’autorité de protection des données nationale sanctionnant un éditeur de presse viennois pour transfert illicite de données vers les États-Unis, via son prestataire de marketing par email. Si le responsable de traitement avait bien mis en place des clauses contractuelles types et des mesures complémentaires de chiffrement, conditions d'utilisation, et gestion du stockage, celles-ci ont été jugées insuffisantes. En effet, au moment des faits, aucune décision d’adéquation ne couvrait les transferts vers les États-Unis (invalidation du Privacy Shield et Data Privacy Framewok non encore adopté), si bien que les mesures en place ne remédiaient ni au risque d'accès des autorités américaines aux données ni à l'absence de recours juridictionnel effectif pour les personnes concernées. En outre, la Cour rappelle que la simple existence d'une politique de confidentialité en ligne ne suffit pas à établir que l’information nécessaire a été fournie, encore faut-il qu’elle ait été activement communiquée. Cette affaire souligne que la conformité des transferts internationaux exige une analyse concrète et documentée, et non la seule mise en place formelle d'un mécanisme de transfert.
Source : BVwG - W171 2302513-1 | GDPRHub
[10 juin 2026] La Commission européenne a publié son Code de bonnes pratiques sur la transparence des contenus générés par l’IA, à l’issue d’un processus multipartite mené depuis novembre 2025 par le Bureau de l’IA. Ce Code volontaire a vocation à aider les fournisseurs et déployeurs de systèmes d’IA générative à se conformer aux obligations de transparence prévus à l’article 50 de l’IA Act, applicables dès le 2 août 2026. Il comprend deux sections, consacrées respectivement aux fournisseurs (règles de marquage et de détection des contenus générés par l’IA) et aux déployeurs (règles d’étiquetage des deepfakes et texte généré ou manipulé par l’IA). Ce Code sera prochainement complété par des lignes directrices sur la portée de ces obligations. Pour les fournisseurs et déployeurs d’IA générative, tout l’enjeu est désormais de se mettre en conformité avant l’échéance du 2 août.
Source : Code de bonnes pratiques sur la transparence des contenus générés par l’IA | Commission européenne
[11 juin 2026] L'éditeur de solutions de cybersécurité Proofpoint intègre le groupe consultatif sur la sécurité de l’internet de l’European Cybercrime Centre d'Europol (« EC3 »). L’EC3 réunit experts et organisations afin d’apporter à Europol une expertise stratégique, du renseignement et des analyses opérationnelles face aux menaces cybercriminelles. L’intégration de Proofpoint s'inscrit dans la continuité de sa participation à l'opération Endgame, l'une des plus grandes opérations internationales réussies contre le cybercrime. Cette évolution illustre également le rôle croissant des partenariats public-privé dans la lutte contre les menaces numériques.
Source : Proofpoint rejoint le comité consultatif d’Europol | L’Informaticien
2.7. Digital Omnibus : des avancées asymétriques
[16 juin 2026] Le Parlement européen a adopté le volet IA du paquet « Digital Omnibus », reportant l'application des obligations pour les systèmes d'IA à haut risque au 2 décembre 2027 (systèmes autonomes) et au 2 août 2028 (composants de sécurité dans des produits réglementés), tout en renforçant les pratiques interdites, qui incluent désormais les systèmes générant des contenus sexuels non consentis et les contenus pédopornographiques. Sur le volet RGPD, la commission des affaires juridiques s'oppose à certaines modifications proposées et plaide pour le maintien des obligations du Data Act (smart contracts, interopérabilité, portabilité cloud), des exigences applicables aux services d'intermédiation de données, des mécanismes d’accès aux données et du règlement Platform-to-Business. Le Parlement poursuit ainsi une logique d’ajustement mais pas de dérégulation : davantage de temps pour se conformer aux nouvelles obligations, sans remettre en cause les exigences du cadre européen du numérique ni fragiliser la sécurité juridique des acteurs concernés.
Sources :
[16 juin 2026] Les autorités italiennes mobilisent les outils du droit européen du numérique pour engager deux procédures visant Google et Apple. D'une part, l'Autorité de Régulation des Communications (AGCOM) a saisi la Commission européenne sur le fondement du DSA afin d'évaluer si l'intégration des AI Overviews de Google dans son moteur de recherche constitue un système de recommandation et engendre des risques systémiques insuffisamment évalués pour le pluralisme de l’information. D'autre part, l'Autorité de la Concurrence (AGCM) a ouvert la première enquête nationale fondée sur le DMA, visant Apple pour défaut d'interopérabilité entre iOS/iPadOS et les services de stockage cloud tiers. Ces deux dossiers témoignent du rôle important joué par les autorités nationales pour la régulation des grandes plateformes, dont les pratiques sont de plus en plus scrutées.
Sources :
[18 juin 2026] Alors que l'autorité autrichienne de protection des données avait rejeté la plainte d'une personne au motif qu'elle avait déjà saisi une juridiction civile sur la même demande d'effacement, la CJUE précise dans sa décision C-414/24 du 18 juin 2026 l'articulation entre le droit d'introduire une réclamation auprès d'une autorité de contrôle (article 77 du RGPD) et le droit à un recours juridictionnel contre un responsable de traitement (article 79 du RGPD). Pour la Cour, ces deux voies coexistent de manière autonome : le RGPD n'établissant aucune règle de priorité entre elles, chacune peut être exercée concurremment. Dès lors, le rejet d'une plainte par une autorité de contrôle, au seul motif qu'une procédure judiciaire portant sur le même objet serait pendante, priverait la personne concernée de toute protection si l'action judiciaire venait à être écartée pour un motif procédural. Pour préserver le droit à un recours effectif tout en évitant des décisions contradictoires, la Cour recommande plutôt aux autorités de suspendre l'examen de la plainte jusqu'à la clôture définitive du litige porté devant les juridictions.
Sources :
[18 juin 2026] Dans une affaire où l’employeur avait utilisé des données issues du compte eBay privé d’un ancien salarié pour fonder une action à son encontre, la CJUE précise les obligations du juge qui traite des données personnelles contenues dans des preuves, y compris lorsqu'elles ont été collectées de façon illicite. Après avoir rappelé que l’examen des preuves par une juridiction constitue bien un traitement de données personnelles relevant du RGPD, la CJUE rappelle que l’admissibilité de la preuve appartient au juge national. A ce titre, elle admet qu’une juridiction utilise des données contenues dans des preuves obtenues illégalement par une partie, à la condition que cette dernière n'ait pas un intérêt légitime au traitement supérieur au simple fait d'établir les faits invoqués. Si le principe de minimisation ne fait pas obstacle à ce traitement et n’impose pas un contrôle de proportionnalité pour chaque traitement réalisé par les juges, ces derniers doivent néanmoins, avant toute divulgation à des tiers, limiter les données à ce qui est nécessaire.
Sources :
[24 juin 2026] Le 10 juin 2026, le Comité européen de la protection des données (CEPD) a adopté un modèle commun de notification des violations de données visant à harmoniser les pratiques à l’échelle européenne. Ce modèle, qui fait l’objet d’une consultation publique jusqu’au 5 août 2026, vise à garantir la conformité des notifications au RGPD, en particulier pour les petites structures dépourvues de DPO ou de juriste interne. En outre, lors de sa rencontre avec le commissaire européen Michael McGrath, le CEPD a réaffirmé son opposition à toute modification de la définition des données à caractère personnel dans le cadre du Digital Omnibus, et défini des priorités communes avec la Commission européen. Les échanges ont porté sur l’importance de la coopération inter-réglementaire et sur des sujets cruciaux d’intérêt commun, telles que les futures lignes directrices de l’EDPB sur le traitement des données relatives aux enfants. Enfin, dans un même objectif de renforcement des dialogues, le CEPD a annoncé ce 24 juin le lancement d’un formulaire de contact dédié au signalement d’éventuelles divergences dans l’interprétation du RGPD à travers l’Europe.
Sources :
[15 juin 2026] Par décret présidentiel du 2 juin 2026, l’administration Trump érige l’IA en enjeu de sécurité nationale et de cybersécurité, tout en revendiquant un refus de la « surrèglementation ». Le texte créer notamment la catégorie de « covered frontier model » : des modèles d’IA dont les capacités cyber dépassent un seuil défini par le directeur de la National Security Agency. Autour de cette catégorie, le décret organise un cadre de coopération volontaire avec les développeurs, qui pourront faire évaluer leurs modèles par le gouvernement fédéral, lui en donner accès jusqu’à 30 jours avant leur diffusion à d’autres tiers de confiance, et choisir ces partenaires. Ce cadre aurait connu sa première application à peine 10 jours après son adoption, le secrétaire au Commerce ayant ordonné à Anthropic de suspendre l’accès à ses modèles Fable 5 et Mythos 5, après qu'une entreprise soit parvenue à contourner les gardes-fous de sécurité. Anthropic conteste la mesure, tandis que cette décision illustre la volonté de l’administration Trump de faire de l’IA un enjeu central de sécurité nationale et de concurrence stratégique à l’échelle mondiale.
Sources :
[15 juin 2026] Les restrictions d’utilisation des réseaux sociaux par les mineurs s’intensifient. Ce mois-ci, le gouvernement britannique a annoncé l'interdiction pour les plateformes de réseaux sociaux de proposer leurs services aux moins de 16 ans, avec une entrée en vigueur au printemps 2027. Inspiré du modèle australien, le texte va au-delà et bloque également le livestreaming, les échanges avec des inconnus sur l'ensemble des services en ligne (y compris les jeux vidéo) ou encore les chatbots IA à vocation romantique ou sexuelle. Sa mise en œuvre reposera sur des mécanismes renforcés de vérification d'âge, supervisés par l’autorité régulatrice des télécommunications (Ofcom), et de restrictions par défaut pour les moins de 16 ans. Cette réforme fait écho au débat français, dont la proposition de loi sur les réseaux sociaux qui prévoit une interdiction pour les moins de 15 ans est en cours d’examen.
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)