Veille données personnelles – Avril 2026
Chaque mois, nous vous livrons l’essentiel de l’actualité data dans la newsletter Data4Coffee. Ne passez pas à côté des infos clés !
Pour la recevoir, merci de bien vouloir remplir ce formulaire.
1. FRANCE
1.1. Outils de rejeu de session : la CNIL consulte sur un projet de recommandation pour encadrer ces traceurs
[25 février 2026]
La CNIL a lancé le 25 février 2026 une consultation publique sur son projet de recommandation relatif aux outils de « rejeu de session » (session replay). Ces technologies permettent de reconstituer le parcours complet d'un utilisateur sur un site web ou une application mobile (mouvements de souris, clics, défilements, voire saisies de formulaires) sous forme de vidéos rejouables. Très répandus chez les éditeurs SaaS et les acteurs e-commerce pour détecter des bugs ou améliorer l'ergonomie, ces outils impliquent un suivi fin du comportement en ligne susceptible de révéler des données personnelles et même sensibles.
Le projet de recommandation clarifie la qualification juridique du fournisseur de la solution (sous-traitant, responsable de traitement distinct ou responsable conjoint), les finalités admissibles (limitées et définies en amont), ainsi que les obligations d'information et les modalités de recueil du consentement via une Consent Management Platform. La CNIL rappelle que ces outils sont soumis à l'article 82 de la loi Informatique et Libertés. La consultation est ouverte jusqu'au 22 avril 2026.
Source : Rejeu de session : la CNIL lance une consultation publique sur son projet de recommandation | CNIL
1.2. Apple Music : la Cour d'appel de Paris sanctionne des clauses abusives et un défaut de transparence sur les données
[27 février 2026]
Par un arrêt du 27 février 2026, la Cour d'appel de Paris a confirmé la condamnation d'Apple à la suite d'une action engagée en 2016 par l'UFC-Que Choisir concernant les conditions générales d'utilisation d'Apple Music. La juridiction retient le caractère abusif ou illicite de plusieurs stipulations, notamment relatives à la responsabilité de l'entreprise et à l'exploitation des contenus générés par les utilisateurs, jugées de nature à créer un déséquilibre significatif au détriment des consommateurs.
La Cour relève également des manquements aux obligations d'information et de transparence en matière de données personnelles : les conditions contractuelles ne permettaient pas aux utilisateurs de disposer d'une information suffisamment claire sur la nature des données collectées, les finalités de leur traitement et les modalités de leur utilisation, en méconnaissance des exigences du droit de la consommation et du RGPD. La sanction a été aggravée à 50 000 euros de dommages et intérêts en faveur de l'UFC-Que Choisir. Cette décision rappelle aux éditeurs de services numériques, SaaS, plateformes, applications, que la transparence contractuelle sur les données n'est pas une option mais une obligation dont le non-respect peut faire l'objet d'actions collectives.
Source : Apple Music : confirmation de clauses abusives | Cour d'appel de Paris, 27 févr. 2026, n° 21/00128
1.3. La CNIL publie l’édition 2026 des « Tables Informatique et Libertés »
[2 mars 2026]
La CNIL met en ligne l’édition 2026 de ses « Tables Informatique et Libertés », un document de référence qui synthétise la jurisprudence et la pratique décisionnelle en matière de protection des données. L’ouvrage recense et classe, par grandes thématiques du RGPD (principes, bases légales, droits des personnes, sécurité, sanctions, etc.), les principales décisions de la CNIL, des juridictions françaises et européennes ainsi que du Comité européen de la protection des données. L’objectif est de créer un outil utile pour identifier les tendances jurisprudentielles et anticiper les attentes du régulateur en matière de conformité.
Source : Tables Informatique et Libertés : la CNIL publie la mise à jour 2026 | CNIL
1.4. IA et RGPD : la CNIL et l’ANSSI lancent un appel pour tester un outil d’audit de confidentialité des modèles
[2 mars 2026]
La CNIL et l’ANSSI, avec le PEReN et Inria, développent PANAME (« Privacy Auditing of AI Models »), un outil destiné à auditer la confidentialité des modèles d’intelligence artificielle. Cette bibliothèque logicielle permettra de tester si un modèle peut révéler des données personnelles issues de son entraînement.
Les autorités lancent un appel à manifestation d’intérêt afin que des entreprises et administrations participent à une phase de test en conditions réelles. L’objectif est d’améliorer l’outil et d’évaluer son efficacité sur différents cas d’usage.
Sur le plan juridique, cette initiative vise à faciliter l’évaluation de la conformité des systèmes d’IA au RGPD, notamment en matière de protection des données d’entraînement.
Pour les acteurs de la tech, ces outils d’audit pourraient devenir un levier important pour démontrer la conformité de leurs modèles.
Sources :
Appel à manifestation d’intérêt pour le test d’un outil d’audit RGPD des modèles d’IA | ANSSI
1.5. Prospection commerciale B2B : la CNIL clôture l'injonction contre Kaspr après mise en conformité
[4 mars 2026]
Par une délibération du 4 mars 2026, la CNIL a constaté la mise en conformité de la société Kaspr et mis fin à l'injonction prononcée à son encontre en décembre 2024. Pour rappel, Kaspr propose un outil de prospection commerciale permettant d'extraire des coordonnées professionnelles à partir de réseaux sociaux, principalement LinkedIn, afin d'alimenter des bases de prospection. L'injonction initiale visait des manquements liés à la collecte et à la réutilisation de données professionnelles issues de réseaux sociaux, notamment en matière d'information des personnes concernées et de licéité des traitements.
Après examen des mesures correctrices mises en œuvre par la société, la CNIL a estimé que celles-ci permettent désormais de satisfaire aux exigences du RGPD et a décidé de clôturer la procédure.
Source : Délibération SAN-2026-004 du 4 mars 2026 - Légifrance
1.6. Adtech et pseudonymisation : le Conseil d'État confirme l'amende de 40 millions d'euros contre Criteo
[4 mars 2026]
Par un arrêt du 4 mars 2026, le Conseil d'État a rejeté le recours de la société Criteo et confirmé la sanction de 40 millions d'euros prononcée par la CNIL en juin 2023 pour manquements au RGPD dans le cadre de son activité de reciblage publicitaire. La Haute juridiction valide d'abord la compétence de la CNIL en qualité d'autorité chef de file, l'établissement principal de Criteo étant situé en France. Elle apporte ensuite une précision procédurale importante : le droit de se taire ne s'applique pas lors des opérations de contrôle et d'enquête de la CNIL diligentées antérieurement à la notification formelle des griefs.
Sur le fond, le Conseil d'État confirme que les données collectées par Criteo via des cookies, notamment les identifiants techniques, adresses IP et historiques de navigation, constituent des données à caractère personnel malgré leur pseudonymisation, dès lors que la réidentification des utilisateurs reste possible. Il confirme par ailleurs l'obligation pour Criteo de démontrer l'existence d'un consentement valable des internautes, indépendamment des accords conclus avec ses partenaires. Cette décision, qui concerne 370 millions d'identifiants en Europe dont 50 millions en France, constitue un signal fort pour l'ensemble de l'écosystème: la pseudonymisation seule ne suffit pas à échapper au RGPD.
Source : Données pseudonymisées et RGPD : le Conseil d'État confirme l'amende contre Criteo
1.7. Fuite de données à profusion - étude de cas : la Ville de Paris et l’UNSS
[3 et 5 mars 2026]
La Ville de Paris et l’Union nationale du sport scolaire ont récemment été victimes de fuites de données massives touchant des usagers et des licenciés, révélant la vulnérabilité des plateformes publiques et scolaires. À Paris, des informations personnelles telles que noms, prénoms, dates de naissance, adresses et contacts ont été extraites de la plateforme des Cours d’Adultes, tandis que l’UNSS a vu plus de 1,2 million de licenciés et 1,5 million de photos exposées via son outil OPUSS, sans compromettre les données bancaires ou sensibles. Dans les deux cas, les organisations ont porté plainte, alerté les personnes concernées et renforcé la sécurité de leurs systèmes, tout en notifiant les autorités compétentes comme la CNIL et l’ANSSI.
Sources :
Les données de plus d’un million d’élèves de l’UNSS exposées | L'Informaticien
1.8. Cybermenace en France
1.8.1. L'ANSSI tire la sonnette d'alarme dans son panorama 2025
[11 mars 2026]
Les dernières publications de l’ANSSI et de Cybermalveillance.gouv.fr confirment une cybermenace toujours élevée en France. Malgré une baisse du volume global d’événements traités en 2025 (3 586, soit -18 %), l’ANSSI recense 1 366 incidents, dont 196 exfiltrations de données, touchant principalement l’éducation, les administrations, la santé et les télécommunications. Le rapport souligne la convergence croissante entre acteurs étatiques et cybercriminels, renforçant les risques d’espionnage, de déstabilisation et de fraude. Parallèlement, Cybermalveillance.gouv.fr enregistre un record de 504 810 demandes d’assistance (+20 %), avec une hausse de 73 % pour les entreprises et associations. Les menaces dominantes restent le piratage de comptes, l’hameçonnage, les faux ordres de virement et les rançongiciels. Cette situation rappelle l’urgence pour les organisations de renforcer leurs mesures de cybersécurité et leur conformité au RGPD et de se doter de procédure de notification des violations de données.
Sources :
Panorama de la cybermenace 2025 : La France toujours sous la pression des cyber attaquants | ANSSI
Les demandes d'aide face aux cybermenaces explosent en France | Le Monde Informatique
1.8.2. Supervision de sécurité : l'ANSSI consulte l'écosystème sur ses nouvelles architectures de référence
[19 mars 2026]
Le 19 mars 2026, l'ANSSI a lancé un appel à commentaires sur les architectures de référence de sa nouvelle doctrine de supervision de sécurité. La supervision de sécurité désigne l'ensemble des moyens (humains, organisationnels, techniques et financiers) concourant à la détection et à la qualification des incidents de sécurité, ainsi qu'au choix de la réaction appropriée. Le document soumis à consultation présente plusieurs architectures de référence destinées à couvrir l'essentiel des contextes de systèmes d'information supervisés.
Cet appel à commentaires est ouvert jusqu'au 7 mai 2026 et s'adresse aux bénéficiaires de services de supervision, aux éditeurs de solutions de détection ainsi qu'aux offreurs de services managés.
Pour les prestataires de services de cybersécurité et les start-up du secteur, c'est l'occasion d'influer sur la doctrine qui structurera les exigences des marchés et audits à venir.
1.9. Cloud souverain : SAP lance son offre en France via Bleu, en attente du visa SecNumCloud
[19 mars 2026]
À l'occasion de son Connect Day du 19 mars 2026 à Paris, SAP a officialisé le lancement de « SAP Sovereign Cloud » en France, opéré via Bleu, la co-entreprise entre Orange et Capgemini distribuant les services de Microsoft Azure. L'offre vise les organisations traitant des données sensibles et stratégiques. Dans ce montage, SAP s'appuie sur un opérateur local en cours d'obtention du visa « SecNumCloud » de l'ANSSI, attestant du plus haut niveau de sécurisation du cloud en France.
Cette annonce illustre un modèle qui se généralise : une souveraineté dite « opérationnelle », fondée sur l'hébergement et l'exploitation locale des données plutôt que sur une indépendance technologique complète vis-à-vis des hyperscalers américains.
Source : Cloud souverain : SAP s'appuie sur Bleu | L'Usine Digitale
1.10 NIS 2 : l’ANSSI publie un référentiel pour anticiper la conformité
[23 mars 2026]
L’ANSSI lance le référentiel « RECYF » pour aider les organisations à se préparer aux exigences de la directive NIS 2. Cet outil propose des bonnes pratiques pour renforcer la cybersécurité, notamment en matière de gestion des risques et de résilience.
Il s’inscrit dans une démarche d’anticipation avant la transposition de NIS 2 en droit français, en permettant aux entreprises d’initier leur mise en conformité.
Sur le plan juridique, RECYF facilite la structuration des démarches de sécurité et la documentation, réduisant ainsi les risques de non-conformité et de sanctions.
Source : L’ANSSI lance le référentiel ReCyF pour anticiper sur NIS 2 | ANSSI
II. UNION EUROPÉENNE
2.1. Data brokers : l'EDPB cartographie le marché et pose les bases d'une surveillance renforcée
[4 mars 2026]
Le 4 mars 2026, le Comité européen de la protection des données (EDPB) a publié une étude de marché sur les data brokers, réalisée dans le cadre du programme Support Pool of Experts à la demande de l'autorité belge de protection des données. L'étude propose une méthodologie d'identification des courtiers en données, une typologie en huit catégories et une évaluation initiale des risques associés à chaque catégorie.
Bien que centrée sur la Belgique, la méthodologie est conçue pour être transposable à l'ensemble des autorités européennes. Ce rapport envoie un signal fort : les activités de collecte, d'agrégation et de valorisation commerciale de données personnelles sont désormais sous surveillance accrue. Les acteurs du secteur doivent anticiper un renforcement des contrôles réglementaires, notamment sur la licéité des bases juridiques invoquées et la transparence vis-à-vis des personnes concernées.
Source : Data brokers market study | EDPB
2.2. RGPD Omnibus : NOYB sonne l'alarme contre une réforme déconnectée des besoins des entreprises
[5 mars 2026]
Le 5 mars 2026, l'association NOYB (None Of Your Business) a publié une analyse critique de la proposition de règlement « RGPD Omnibus » portée par la Commission européenne. En s'appuyant sur une enquête menée auprès de délégués à la protection des données (DPO) de toute l'Europe, NOYB relève que les praticiens ne souhaitent pas une réduction des protections accordées aux personnes, mais une simplification des obligations documentaires et une clarification des règles existantes.
NOYB pointe que plusieurs des modifications proposées profiteraient davantage aux grandes entreprises technologiques qu'aux PME et start-up qui font face à des difficultés d'application concrètes. L'association appelle le Parlement européen à rejeter les dispositions qui réduiraient le champ d'application du RGPD ou faciliteraient le traitement de données pour des finalités d'IA sans base juridique clairement établie. Ce dossier est politiquement sensible et à suivre de très près tout au long des négociations européennes en cours.
Source : GDPR Omnibus : La "simplification" de l'UE loin des besoins réels des entreprises | NOYB
2.3. Régulation croisée en Europe : l'EDPB affirme son rôle au carrefour des grandes réglementations numériques
[17 mars 2026]
Le 17 mars 2026, l'EDPB a organisé à Bruxelles une conférence sur la coopération inter-réglementaire dans l'UE, portant sur les interactions entre le RGPD et les grands textes numériques récents : DSA, DMA, Data Act, AI Act. L'événement visait à présenter le programme de travail 2026-2027 du Comité, qui place la coopération transréglementaire parmi ses priorités stratégiques. Les thèmes abordés incluaient les synergies entre protection des données et droit de la concurrence, ainsi que la cohérence dans la supervision des plateformes numériques.
Source : Conference on cross-regulatory cooperation in the EU (17 March) - Programme available now | EDPB
2.4. RGPD et obligation de transparence : l'EDPB lance une action coordonnée d'enforcement sur la transparence en 2026
[19 mars 2026]
Le 19 mars 2026, l'EDPB a officiellement lancé son action coordonnée d'application, dont le thème est la conformité aux obligations de transparence et d'information prévues aux articles 12, 13 et 14 du RGPD. Ces dispositions imposent aux responsables de traitement d'informer les personnes concernées de manière claire, accessible et complète sur les modalités de traitement de leurs données. Les autorités nationales participent sur base volontaire et mèneront leurs investigations au niveau national tout au long de l'année 2026.
Cette action s'inscrit dans la continuité des précédentes éditions du « Coordinated Enforcement Framework » (CEF), qui avaient porté sur les DPO (2024) et le droit d'accès (2025). Pour les start-up, scale-up et plateformes SaaS, c'est un signal d'alerte clair : les politiques de confidentialité, bandeaux de cookies et mentions d'information vont faire l'objet d'une attention accrue.
2.5. DSA : X (ex-Twitter) règle son amende de 120 millions d'euros
[19 mars 2026]
Le réseau social X a accepté de s'acquitter de l'amende de 120 millions d'euros prononcée par la Commission européenne en décembre 2025 pour manquements au règlement sur les services numériques (DSA). Trois infractions étaient reprochées : le système de coches bleues payantes jugé trompeur pour les utilisateurs, l'opacité du registre des annonceurs, et l'insuffisance des accès accordés aux chercheurs aux données de la plateforme. X a parallèlement soumis des propositions correctives sur la transparence publicitaire, que la Commission doit encore évaluer. La plateforme peut présenter des remèdes complets jusqu'au 28 avril 2026.
Cette affaire constitue la première sanction prononcée au titre du DSA contre une très grande plateforme et établit un précédent important : les obligations de transparence imposées par le DSA donnent lieu à des sanctions concrètes et dissuasives.
Source : X accepte de payer 120 millions d'euros à l'Europe | Siècle Digital
2.6. Deepfakes sexualisés : l’Europe renforce la régulation, Grok sanctionné par la justice néerlandaise
[27 mars 2026]
Face à la prolifération des deepfakes sexualisés, l’Union européenne intensifie ses initiatives pour mieux encadrer ces contenus, jugés particulièrement préjudiciables pour les victimes. En parallèle, la justice néerlandaise a ordonné des mesures contre Grok, assorties d’une astreinte de 100 000 euros par jour en cas de non-respect.
L’affaire illustre la volonté croissante des autorités européennes d’imposer des obligations concrètes aux acteurs de l’IA, notamment en matière de retrait rapide de contenus illicites et de prévention des usages abusifs. Elle met également en évidence l’utilisation de sanctions financières dissuasives pour garantir l’effectivité des décisions judiciaires.
Sur le plan juridique, ces évolutions confirment le renforcement des responsabilités des plateformes et des éditeurs d’outils d’IA, en particulier s’agissant de la protection des droits fondamentaux et de la dignité des personnes.
III. INTERNATIONAL
3.1. Démantèlement de LeakBase : une opération internationale cible un hub majeur du cybercrime
[3 mars 2026]
Une opération coordonnée par les autorités internationales, notamment le FBI et Europol, a conduit à la fermeture du forum LeakBase, une plateforme majeure utilisée pour l’échange et la vente de données piratées. Créé en 2021, le site comptait plus de 142 000 membres et hébergeait un vaste catalogue de bases de données compromises, comprenant identifiants, mots de passe et informations bancaires. Les cybercriminels y achetaient et vendaient ces données afin de faciliter des fraudes ou des prises de contrôle de comptes.
Entre le 3 et le 4 mars 2026, une action conjointe menée dans plusieurs pays a entraîné la saisie des domaines et de la base de données du forum, ainsi qu’une centaine d’interventions (perquisitions, arrestations, auditions). Les autorités ont notamment ciblé 37 des utilisateurs les plus actifs.
La récupération des données internes du site (comptes utilisateurs, messages, journaux techniques) devrait permettre d’identifier des individus qui pensaient agir anonymement en ligne.
L’opération illustre l’intensification de la coopération internationale pour lutter contre la cybercriminalité et démanteler les infrastructures facilitant la diffusion de données volées. Elle rappelle également les risques pénaux encourus par les acteurs impliqués dans la revente ou l’utilisation de données compromises.
3.2. Phishing industrialisé : Europol démantèle Tycoon2FA, la plateforme qui contournait la double authentification
[9 mars 2026]
Le 4 mars 2026, Europol a coordonné le démantèlement de Tycoon2FA, l'une des plus importantes plateformes mondiales de phishing-as-a-service (PhaaS). Ce service permettait à des cybercriminels de louer, sur abonnement, un kit clé en main capable de contourner l'authentification multifacteur (MFA) en interceptant les sessions de connexion en temps réel via des techniques d'adversary-in-the-middle (AiTM). Plus de 330 domaines ont été saisis et le développeur principal formellement identifié. L'opération a mobilisé six pays européens ainsi que des partenaires privés (Microsoft, Cloudflare, Trend Micro).
Tycoon2FA représentait à mi-2025 environ 62 % des tentatives de phishing bloquées par Microsoft, avec près de 100 000 organisations compromises dans le monde. En France, 6 823 victimes ont été identifiées. Cette opération illustre l'industrialisation de la cybercriminalité et rappelle une réalité essentielle pour les entreprises SaaS et cloud : la MFA n'est pas une protection absolue. La sécurisation des sessions d'authentification doit s'accompagner de mécanismes de détection des sessions suspectes, d'une supervision active des accès et, pour les responsables de traitements, d'une réévaluation des mesures de sécurité au titre de l'article 32 du RGPD.
Source : Tycoon2FA démantelée par Europol | L'Usine Digitale
3.3. Cyberguerre et MedTech : le géant américain Stryker paralysé par un malware pro-iranien
[12 mars 2026]
Le 11 mars 2026, Stryker Corporation, l'un des plus grands fabricants mondiaux d'équipements médicaux (56 000 collaborateurs, présence dans 79 pays), a confirmé subir une perturbation mondiale de son environnement Microsoft à la suite d'une cyberattaque. L'attaque a été revendiquée par le groupe hacktiviste Handala, affilié aux services de renseignement iraniens, en représailles à une frappe militaire américaine. Le groupe affirme avoir déployé un wiper - à savoir un malware dont l'objectif est d'effacer les données - effaçant plus de 200 000 systèmes, serveurs et appareils mobiles, et avoir exfiltré 50 To de données.
Stryker a indiqué n'avoir « aucune indication de ransomware ou de malware » et considère l'incident comme contenu à son environnement Microsoft interne. L'incident illustre l'extension du cyberespace aux infrastructures critiques civiles dans les conflits géopolitiques contemporains, et la vulnérabilité spécifique du secteur de la santé. Pour rappel, sur le plan RGPD, une telle attaque implique une analyse urgente de la violation de données personnelles, une notification à l'autorité de contrôle compétente sous 72 heures si le risque pour les personnes est avéré, et une communication aux personnes concernées si ce risque est élevé.
Source : Cyberattaque pro-iranienne contre Stryker | Usine Digitale
Pour en savoir plus sur les violation de données en santé ainsi que les dispositions légales et règlementaires applicables aux éditeurs de logiciels en santé : vous pouvez consulter cet article.
3.4. Protection des mineurs en ligne : sanctions de réseaux sociaux
3.4.1. L'ICO inflige 14,47 millions de livres à Reddit pour traitement illicite des données d'enfants
[24 février 2026]
Le 24 février 2026, l'autorité de protection des données personnelles au Royaume-Uni - Information Commissioner's Office ou ICO - a prononcé une amende de 14,47 millions de livres sterling à l'encontre de Reddit pour traitement illicite des données personnelles d'utilisateurs de moins de 13 ans, en violation du UK GDPR. L'enquête a établi deux manquements principaux : l'absence de tout mécanisme robuste de vérification de l'âge, rendant impossible l'identification d'une base légale valable pour le traitement des données des mineurs, et l'absence d'analyse d'impact sur la protection des données avant janvier 2025, malgré un traitement présentant des risques élevés pour des personnes vulnérables. En l'absence de contrôle effectif, un nombre significatif d'enfants a ainsi pu accéder à la plateforme et être exposé à des contenus inappropriés, sans pouvoir comprendre ni contrôler l'utilisation de leurs données.
Cette sanction s'inscrit dans une série d'actions coordonnées : la plateforme Imgur (MediaLab) avait été condamnée à 247 590 livres le même jour pour des manquements similaires, et TikTok avait été sanctionné de 12,7 millions de livres en 2023. Le message de l'ICO est sans ambiguïté : se contenter d'une auto-déclaration d'âge ne suffit pas. L'autorité a expressément indiqué qu'elle étend désormais ses investigations à toutes les plateformes qui s'appuient principalement sur ce mécanisme.
Source : Reddit issued with £14.47m fine for children’s privacy failures | ICO
3.4.2. Meta condamnée à 375 millions de dollars aux Etats-Unis
[24 mars 2026]
Un jury américain a condamné Meta à une amende de 375 millions de dollars pour avoir exposé des mineurs à des risques en ligne, en raison de mesures de protection jugées insuffisantes. L’entreprise aurait eu connaissance de certains dangers et n’aurait pas agi de manière adéquate à l’égard des mineurs. Elle aurait dû notamment divulguer les risques de ses plateformes pour les enfants.
Cette décision marque un durcissement des exigences pesant sur les plateformes en matière de sécurité des utilisateurs, en particulier les publics vulnérables. Elle confirme l’extension de leur responsabilité quant aux contenus et interactions hébergés.
Source : Meta condamné à 375 millions de dollars pour avoir mis des enfants en danger | Siècle Digital
Caroline Chancé, Jeannie Mongouachon, Clémentine Beaussier, Victoire Grosjean et Juliette Lobstein
.png)
