Cybersécurité, RGPD & IA : Les actus à ne pas manquer d'avril 2026 

Pixels de suivi : La CNIL publie ses recommandations

Après une phase de consultation publique, la CNIL a publié, le 14 avril, ses recommandations finales sur l’usage des pixels dans les courriels.

Pour rappel, le pixel de suivi (parfois appelé « pixel espion » ou pixel de « tracking ») est une méthode de traçage alternative aux cookies. Il prend généralement la forme d’une image invisible (1x1 pixel), intégrée dans un site web ou un courriel.

Le chargement de cette image, dont le nom contient un identifiant, permet de savoir si un utilisateur a consulté une page ou ouvert un email.

Si cette pratique n’est pas nouvelle, son usage connaît une croissance marquée ces dernières années. En parallèle, la CNIL a reçu un nombre croissant de plaintes à ce sujet, ce qui l’a conduite à revenir sur le cadre juridique applicable.

La recommandation apporte ainsi plusieurs clarifications :

• le rôle des différents acteurs,

• les cas dans lesquels le consentement est nécessaire (ou non),

• et les modalités de recueil, de retrait et de preuve du consentement.

Pour aller plus loin, consultez la recommandation complète ici.

Source : CNIL

Meta : des employés surveillés… pour entraîner les agents IA

Meta accélère sur l’IA, quitte à franchir une ligne sensible en interne.

Fin avril, l’entreprise a annoncé le déploiement d’un outil sur les ordinateurs de ses employés aux États-Unis, capable d’enregistrer les frappes clavier, les clics et certains usages des applications professionnelles. L’objectif : collecter des données pour entraîner ses futurs agents d’intelligence artificielle.

Ce programme, baptisé Model Capability Initiative, vise à améliorer les performances des modèles dans des environnements conçus pour les humains (interfaces, menus, raccourcis…). En parallèle, Meta pousse une adoption rapide de ces outils en interne, avec une vision assumée : des agents IA capables d’exécuter une grande partie des tâches, les employés se limitant à un rôle de supervision.

Sans surprise, cette approche suscite des inquiétudes en interne.

Plusieurs employés s’alarment du caractère intrusif de la collecte, mais aussi de sa finalité : contribuer à entraîner des systèmes susceptibles, à terme, de les remplacer.

Meta assure que ces données ne seront pas utilisées pour évaluer les performances individuelles, sans pour autant dissiper totalement les craintes.

Dans le même temps, l’entreprise a confirmé un plan de réduction d’effectifs : 10 % des employés, soit environ 8 000 personnes. Une décision assumée comme nécessaire pour financer ses investissements massifs dans l’IA.

Une actualité qui fait froid dans le dos, mais qui nous rappelle aussi la "chance" de travailler en Europe, où cette pratique serait certainement interdite.

Source : Les Echos

Contrôles CNIL : quelles priorités pour 2026 ?

Chaque année, la CNIL définit ses thématiques de contrôle prioritaires. Pour 2026, trois secteurs sont particulièrement dans le viseur : le recrutement, le répertoire électoral unique (REU) et les fédérations sportives.

Derrière cette annonce, un enjeu simple : orienter les contrôles sur des traitements de données à fort impact pour les droits des personnes.

Côté recrutement, la CNIL passe à l’étape suivante. Trois ans après la publication de son guide, elle va vérifier concrètement sa mise en œuvre : information des candidats, durée de conservation, recours à des outils automatisés… Les grandes entreprises et cabinets de recrutement sont en première ligne. En filigrane, c’est aussi une anticipation du règlement sur l’IA et du rôle futur de la CNIL sur ces sujets.

Le répertoire électoral unique, qui centralise les données de l’ensemble des électeurs français, fera lui aussi l’objet de contrôles spécifiques. L’objectif : s’assurer que les usages restent strictement conformes à leur finalité, et détecter d’éventuels détournements.

Enfin, les fédérations sportives sont ciblées dans un contexte particulier : hausse massive des inscriptions post-JO 2024, traitement de données sensibles (notamment de santé) et exposition accrue aux cyberattaques. La CNIL vérifiera notamment la pertinence des données collectées, leur sécurité et leur durée de conservation.

Au-delà de ces trois axes, un sujet transverse s’impose : la transparence. Dans le cadre d’une action coordonnée au niveau européen, la CNIL pilotera des contrôles sur la qualité de l’information fournie aux personnes.

Source : CNIL

Fausse app WhatsApp : quand un simple téléchargement devient un outil de surveillance

Ils pensaient installer WhatsApp. En réalité, ils ont installé un spyware.

WhatsApp a récemment alerté près de 200 utilisateurs (principalement en Italie) après la découverte d’une version frauduleuse de son application sur iPhone, intégrant un logiciel espion. La campagne aurait été détectée de manière proactive par les équipes de sécurité de Meta, qui ont depuis déconnecté les comptes concernés et invité les utilisateurs à supprimer l’application malveillante.

Derrière cette opération, WhatsApp pointe du doigt une société italienne : SIO, spécialisée dans les technologies de surveillance, via sa filiale ASIGINT. Un nom qui n’est pas inconnu, car elle avait déjà été associée à des campagnes similaires, notamment autour d’applications Android piégées intégrant un spyware baptisé Spyrtacus.

À ce stade, les modalités précises de diffusion restent floues. Mais le mécanisme, lui, est bien connu : inciter les utilisateurs à installer une application en dehors des circuits officiels, en jouant sur la confiance. Sur iPhone, ce type d’installation reste possible dans certains cas, et c’est précisément cette faille “comportementale” qui est exploitée.

Ce type d’attaque n’a rien d’anecdotique. Il s’inscrit dans une tendance plus large : les messageries ne sont plus seulement des outils de communication, ce sont des points d’entrée stratégiques. Accès aux échanges, aux contacts, capacité d’usurpation… une fois le compte compromis, le potentiel d’exploitation est considérable.

Et ce n’est pas un cas isolé. En 2025 déjà, WhatsApp avait alerté plusieurs dizaines d’utilisateurs ciblés par un spyware développé par Paragon. Plus récemment, les autorités françaises mettaient en garde contre une vague d’attaques visant directement les comptes de messagerie, en s’appuyant sur des techniques d’ingénierie sociale.

Moralité : vigilance maximale.

Source : Euronews

Cybersécurité : OpenAI muscle son jeu avec un modèle dédié… et entre dans la bataille

La guerre de l’IA se joue aussi sur le terrain de la cybersécurité.

Une semaine après l’annonce d’Anthropic autour de son projet Glasswing, OpenAI réplique avec GPT-5.4-Cyber, un modèle dédié à la protection des logiciels critiques, pour l’instant réservé à un cercle restreint d’acteurs via son programme Trusted Access for Cyber.

L’objectif est clair : s’imposer comme un acteur central de la cybersécurité à l’ère de l’IA, en intégrant ses modèles directement dans les workflows de développement et de défense.

Concrètement, GPT-5.4-Cyber est conçu pour des usages défensifs avancés. Il se montre plus permissif dans des contextes légitimes (là où d’autres modèles bloquent), et permet notamment d’analyser des logiciels sans accès au code source (reverse engineering), de détecter des vulnérabilités ou de proposer des correctifs.

Mais derrière l’annonce produit, c’est surtout une stratégie qui se dessine.

Comme Anthropic, OpenAI assume le caractère “double usage” de ces modèles : les mêmes capacités peuvent servir à attaquer… ou à défendre. La réponse ? Un accès contrôlé, basé sur des signaux de confiance et une sélection des utilisateurs, plutôt qu’une ouverture totale.

Ce mouvement s’inscrit dans une tendance plus large : la cybersécurité devient continue, automatisée, et intégrée directement dans le développement logiciel. Détection, analyse, correction… à grande échelle.

Reste une question : jusqu’où peut-on ouvrir ces capacités sensibles sans créer de nouveaux risques ?

Source : L'usine digitale

Cloud souverain : Google et Accenture s’installent à Bruxelles… au plus près de la régulation

Installer un centre “souverain” à Bruxelles, ce n’est pas un hasard.

Google Cloud et Accenture viennent d’y inaugurer un “Sovereign Cloud and AI Innovation Center”, pensé pour pour permettre aux gouvernements et aux secteurs régulés (santé, défense, finance) de tester des solutions cloud et IA… sans perdre le contrôle sur leurs données..

Plus concrètement, ce centre permettra aux organisations de :

• concevoir et valider des cas d’usage conformes aux exigences réglementaires

• migrer des infrastructures héritées vers des environnements hybrides sans renoncer au contrôle opérationnel

• développer leurs compétences, via des ressources et des équipes dédiées, pour accompagner ces transformations à grande échelle

Mais au-delà de cette structuration, c’est une réalité du marché qui ressort.

Le centre ne propose pas une solution clé en main, mais un espace de test. Les organisations peuvent y expérimenter différents niveaux de souveraineté selon leurs besoins : cloud public restreint, environnements hybrides ou infrastructures isolées.

Car aujourd’hui, aucune offre ne coche toutes les cases.

Les hyperscalers proposent des services puissants (notamment en matière d’IA), mais reposent sur des architectures globales, avec les questions que cela pose en termes de dépendance et de juridiction. À l’inverse, les acteurs européens offrent davantage de garanties “par design”, mais avec un catalogue souvent plus limité.

Résultat : les organisations doivent arbitrer entre performance et contrôle. Entre richesse fonctionnelle et indépendance réelle.

Le centre de Bruxelles s’inscrit précisément dans cette zone de tension : permettre de tester ces compromis, plutôt que de prétendre les résoudre.

Reste un point clé : la souveraineté ne se joue pas uniquement au niveau technique.

Même avec une isolation forte, la question juridique reste entière, notamment face au CLOUD Act. Et sur ce terrain, les hyperscalers restent structurellement exposés.

Au fond, cette initiative traduit un choix plus large côté européen : faute d’imposer une souveraineté stricte par la régulation, on laisse le marché construire ses propres équilibres.

Autrement dit : une souveraineté… à la carte.

Source : L'usine digitale

Poke : l’agent IA qui s’invite dans vos messages… et dans vos données

Et si votre assistant IA devenait… un simple contact dans votre téléphone ?

C’est le pari de Poke, un agent IA qui s’intègre directement dans les messageries (iMessage, SMS, Telegram) et avec lequel on échange comme avec un collègue, un ami. Pas d’application à ouvrir : l’IA se fond dans le flux de messages du quotidien.

Là où la plupart des assistants nécessitent une interface dédiée, Poke s’intègre directement dans les outils existants. Il peut lire et rédiger des emails, gérer un agenda, créer des rappels ou encore automatiser certaines tâches, parfois de manière proactive en s’appuyant sur le contexte (emails, calendrier, etc.). Une approche dite “zero UI”, qui vise à rendre l’IA quasi invisible.

Le produit reste encore expérimental. Sa base d’utilisateurs est limitée, mais les cas d’usage semblent prometteurs.

Par contre, il y a un point qui pourrait s’avérer bloquant : en disant oui à Poke, l’utilisateur accepte de lui fournir des données personnelles assez larges — coordonnées, informations de compte, contenu, données sensibles, informations de paiement… L’entreprise le reconnaît elle-même dans sa politique de confidentialité. Résultat : un agent connecté en permanence à des données riches, parfois sensibles, et potentiellement à des informations concernant des tiers.

Tout ça, est-ce RGPD-friendly ? Grimace. Sur le papier oui, mais en pratique, on est dans une zone grise… gris bien foncé (on ajouterait) : traitement de données sensibles, accès à des données de tiers sans consentement explicite, difficulté à appliquer les principes de minimisation.

Et pour les entreprises ? À ce stade, Poke n’a pas encore les épaules “sécurité” assez larges : absence de cadre contractuel clairement structuré, manque de certifications type SOC2, impossibilité de déploiement dans des environnements maîtrisés. Autant d’éléments qui freinent son positionnement sur le marché B2B.

La start-up fait le pari du “zero UI” pour faciliter l’adoption, et c’est tout là ce qui la distingue. Reste à voir si, dans le temps, le problème (certes concret) qu’il adresse (surcharge d’emails, fragmentation des outils, oubli des tâches) s’avère aussi utile qu’il n’y paraît au premier abord… sans créer de nouveaux risques.

Source : TechCrunch

Souveraineté numérique : l’État accélère… et commence à passer à l’acte

Cette fois, ce ne sont plus seulement des annonces.

Début avril, l’État a enclenché un mouvement plus concret pour réduire sa dépendance aux technologies américaines — avec Microsoft en ligne de mire. Objectif : reprendre la main sur ses systèmes les plus critiques.

Première étape : cartographier les dépendances. Chaque ministère devra ensuite formaliser son plan de réduction d’ici l’automne.

Mais surtout, des décisions structurantes émergent.

L’une des plus symboliques : la sortie progressive de Windows au profit de Linux. Un choix qui permet plus de contrôle… mais qui ne règle pas tout. Les applications métiers restent largement dépendantes de l’écosystème Microsoft, et même l’open source n’échappe pas à l’influence des grands acteurs.

En parallèle, l’État pousse ses outils souverains (Tchap, Visio, FranceTransfert) et relance un chantier sensible : la migration du Health Data Hub hors d’Azure d’ici fin 2026. Un objectif déjà annoncé… puis repoussé à plusieurs reprises.

Derrière ces mouvements, une stratégie plus large se dessine : utiliser la commande publique et la régulation pour orienter le marché vers des solutions souveraines.

Mais une réalité demeure.

Changer d’outils ne suffit pas à garantir une autonomie stratégique. Les dépendances sont plus profondes, inscrites dans des chaînes technologiques globalisées.

Autrement dit : le virage est amorcé. Mais la souveraineté reste, pour l’instant, partielle.

Source : Numérique.Gouv

Les cyberattaques du mois

ANTS : des millions de données potentiellement exposées via un accès non autorisé

Un nouvel incident touche un service public critique.

Le 15 avril, l’ANTS (qui gère cartes d’identité, passeports et permis) a été victime d’une cyberattaque ayant entraîné une fuite de données personnelles. Noms, dates de naissance, emails, identifiants de connexion.

Si les pièces justificatives ne sont pas concernées, le périmètre reste sensible, notamment pour des attaques de phishing ou d’usurpation d’identité. Des données professionnelles (SIREN, habilitations) pourraient également avoir été exposées.

L’ampleur réelle reste incertaine. Une base de plusieurs millions d’enregistrements serait en vente, sans confirmation à ce stade.

Anthropic : une erreur expose 500 000 lignes de code… et les coulisses de Claude

Pas de hacker, pas de faille sophistiquée.

Cette fois, l’incident vient d’une erreur presque banale : un fichier “source map” intégré par inadvertance dans une version de Claude Code. Résultat ? Plus de 500 000 lignes de code interne exposées, permettant de reconstruire une partie du fonctionnement de l’outil d’IA d’Anthropic.

En quelques heures, le code a été téléchargé, copié, diffusé sur GitHub… et rendu quasiment impossible à contenir. Anthropic a rapidement corrigé la version concernée et affirme qu’aucune donnée client ni identifiant sensible n’a été exposé.

Mais le vrai sujet n’est pas là.

Cette fuite donne un aperçu rare des coulisses de Claude Code : architecture interne, gestion de la mémoire, logique d’orchestration des agents, fonctionnalités jusqu’ici peu visibles. On découvre notamment un système pensé pour organiser le travail de l’agent dans la durée, maintenir le contexte, agir en arrière-plan et améliorer ses performances d’une interaction à l’autre.

Pour les concurrents, c’est une mine d’informations. Pour les attaquants, c’est potentiellement une cartographie des mécanismes internes à tester, contourner ou exploiter. Comprendre comment un agent décide, vérifie ou exécute une action, c’est aussi mieux comprendre où il peut être trompé.

L’incident tombe d’autant plus mal qu’il survient quelques jours après une autre fuite chez Anthropic, cette fois liée à des documents internes sur un futur modèle baptisé “Mythos”. Deux erreurs humaines en moins d’une semaine, pour une entreprise qui a largement construit sa crédibilité sur la sécurité et l’IA responsable, ça fait mal.

Basic-Fit : 200 000 clients exposés après un accès non autorisé

Même scénario, même faiblesse.

Basic-Fit a subi une fuite de données touchant environ 200 000 membres aux Pays-Bas. Noms, coordonnées, dates de naissance… et, plus problématique, des données bancaires.

L’incident a été rapidement contenu, mais a duré suffisamment longtemps pour permettre une exfiltration.

Ce n’est pas une première. Quelques semaines plus tôt, l’entreprise était déjà indirectement concernée par une attaque via un prestataire.

Cette fois, ce sont ses propres systèmes.

Le pattern se répète : accès non autorisé, données massives, exploitation potentielle. Et une constante : la surface d’attaque ne se limite plus aux prestataires.

Adobe Reader : un simple PDF suffisait pour compromettre un poste

Ouvrir un PDF. Et perdre le contrôle de sa machine.

Pendant plusieurs mois, une faille critique dans Adobe Reader a permis à des attaquants d’installer un malware à distance via un document piégé. Une vulnérabilité activement exploitée avant même la publication du correctif — autrement dit, une zero-day.

Le vecteur est aussi simple qu’efficace : aucun clic supplémentaire, aucun téléchargement suspect. L’ouverture du fichier suffit à déclencher l’exécution du code malveillant, avec à la clé une compromission potentiellement complète du poste (accès aux fichiers, exécution de commandes, mouvement latéral dans le réseau…).

Ce type de faille reste particulièrement redoutable, car il cible l’un des usages les plus banals en entreprise. Le PDF est partout : factures, contrats, pièces jointes… et donc rarement perçu comme un risque. Résultat : un terrain idéal pour des campagnes de phishing ou d’intrusion plus larges.

Ajoutez à cela la diffusion massive des outils Adobe, et vous obtenez une surface d’attaque considérable, exploitable à grande échelle par des acteurs opportunistes comme plus structurés.

Le correctif est désormais disponible. Mais comme souvent, le vrai enjeu n’est pas la faille en elle-même — c’est le délai de mise à jour. Entre publication du patch et déploiement effectif, la fenêtre d’exploitation reste bien réelle.

Commission européenne : un outil de sécurité détourné pour exfiltrer des données

Un outil de sécurité… transformé en porte d’entrée.

La Commission européenne a été victime d’une cyberattaque après la compromission de Trivy, un outil utilisé pour détecter des vulnérabilités dans les environnements de développement. En exploitant une version altérée de cet outil, les attaquants ont réussi à récupérer une clé d’accès AWS, puis à étendre progressivement leur accès à plusieurs environnements cloud.

Résultat : près de 91,7 Go de données exfiltrées (plus de 300 Go une fois décompressées), incluant notamment des données personnelles et des informations issues de différents services de la plateforme Europa.

Le mécanisme est particulièrement révélateur.

L’attaque ne cible pas directement l’infrastructure de la Commission. Elle passe par un outil tiers, intégré en toute confiance dans ses processus internes. Une fois exécuté dans les pipelines de développement, cet outil compromis devient un point d’entrée légitime… mais invisible.

C’est tout le principe des attaques par la chaîne d’approvisionnement : au lieu d’attaquer une organisation de front, on compromet un outil qu’elle utilise, puis on la laisse s’exposer elle-même.

Dans ce cas précis, l’accès initial remonte au 19 mars, avec une détection quelques jours plus tard seulement, après des anomalies sur les API et le trafic réseau. Un délai suffisant pour explorer l’environnement, étendre les droits et exfiltrer des données.

Le signal est clair : la sécurité ne se joue plus uniquement au niveau de ses propres systèmes, mais dans l’ensemble de son écosystème. Et aujourd’hui, ce sont souvent les outils de confiance qui deviennent les maillons les plus critiques.

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les articles source. Et pour les prochaines, restez connectés. On revient fin mai avec un nouveau récap’ !