Cybersécurité, RGPD & IA : Les actus à ne pas manquer de février 2026 

Entre Digital Omnibus, bras de fer sur NIS 2, contentieux WhatsApp, guerre ouverte sur la distillation des modèles d’IA — voici ce qu'il faut retenir de l'actualité de février.

Digital Omnibus : le CEPD et l'EDPS rendent leur avis

Simplifier le droit numérique européen pour le rendre plus compétitif : sur le principe, difficile d’être contre. C’est l’ambition affichée du règlement « Omnibus numérique » présenté par la Commission en fin d'année 2025.

Le 11 février 2026, le CEPD et l’EDPS ont rendu leur avis conjoint. Leur position est nuancée : oui à la simplification, mais pas au prix d’un affaiblissement du RGPD.

Le point le plus sensible ? La définition même des données à caractère personnel.

Selon les autorités, les modifications proposées dépassent largement un simple ajustement technique. Restreindre la notion de donnée personnelle, ou laisser à la Commission le soin de décider ce qui sort du champ du RGPD après pseudonymisation, pourrait créer une insécurité juridique majeure et fragiliser le niveau de protection des personnes.

Pour autant, tout n’est pas rejeté.

L’augmentation du seuil de notification des violations de données et l’allongement des délais sont perçus comme des mesures pragmatiques : moins de formalisme, sans renoncer aux garanties essentielles. L’harmonisation de la notion de recherche scientifique et certaines clarifications liées à l’IA vont également dans le sens d’une meilleure cohérence.

Autre sujet clé : la fatigue liée aux cookies. Le soutien à des mécanismes automatisés permettant aux utilisateurs d’exprimer leurs choix, ainsi que l’encouragement à la publicité contextuelle, traduisent une volonté d’adapter le cadre aux usages réels, sans abandonner les principes.

En creux, une question stratégique se pose pour les organisations : la simplification réglementaire peut-elle réellement alléger la charge sans déplacer l’incertitude ailleurs ?

Derrière l’argument de la « compétitivité », c’est potentiellement l’architecture même du droit européen des données qui évolue. Et dans ce domaine, chaque ajustement de définition a des conséquences très concrètes.

Source : CNIL

La CNIL publie son bilan 2025

Les chiffres sont éloquents : 259 décisions, dont 83 sanctions, pour un total de 486,8 millions d’euros d’amendes. Au-delà du montant (impressionnant mais devenu presque habituel), ce sont surtout les tendances qui méritent l’attention.

Le sujet "cookies" n'est plus toléré

Cinq ans après la publication de ses lignes directrices, la CNIL considère que les règles sont connues. Dépôt sans consentement valable, refus inefficace, information lacunaire : 21 acteurs ont été sanctionnés. Deux amendes majeures (325 et 150 millions d’euros) rappellent que le sujet n’est plus toléré.

La vidéosurveillance des salariés

Seize organismes ont été sanctionnés pour des dispositifs jugés disproportionnés : caméras filmant en continu, surveillance permanente des postes de travail, dispositifs dissimulés sans justification exceptionnelle. Le message est clair : la sécurité ne justifie pas tout.

La responsabilité des sous-traitants

La CNIL insiste : ils ne sont pas de simples exécutants. Sécurité insuffisante, traitements hors instruction, conservation excessive des données… Les obligations contractuelles doivent se traduire en pratiques effectives. La responsabilité est opérationnelle, pas théorique.

La procédure simplifiée, elle, met en lumière des manquements récurrents et presque “bas niveau” : mots de passe faibles, comptes partagés, absence de réponse aux demandes d’exercice de droits, non-coopération avec l’autorité. Autrement dit : l’hygiène RGPD reste un angle mort pour de nombreuses organisations.

143 mises en demeure adressées

Enfin, 143 mises en demeure ont été adressées, notamment dans le secteur social et auprès de services visant des mineurs. Conservation excessive, défaut de transparence, protection insuffisante des publics vulnérables : les fondamentaux restent sous surveillance.

Ce bilan 2025 ne marque pas un tournant. Il confirme une trajectoire. Cookies, sécurité, surveillance, droits des personnes : les priorités sont stables. Et les montants rappellent que le temps de la pédagogie est largement derrière nous.

Source : CNIL

Anthropic accuse les modèles open source chinois de “piller” Claude

Anthropic monte au créneau contre plusieurs laboratoires chinois (DeepSeek, Moonshot et MiniMax) qu’elle accuse d’avoir mené des campagnes massives pour “distiller” son modèle Claude.

Distiller : c'est à dire ?

Concrètement, il s’agirait de collecter à grande échelle les réponses générées par Claude afin d’entraîner des modèles concurrents.

Anthropic affirme avoir identifié plus de 16 millions d’échanges provenant d’environ 24 000 comptes frauduleux, en violation de ses conditions d’utilisation et de ses restrictions géographiques.

La pratique de la distillation n’a pourtant rien de nouveau dans la recherche en IA. Mais Anthropic la présente ici comme une atteinte directe à sa propriété intellectuelle, évoquant des risques pour la sécurité nationale américaine, la perte d’avantage concurrentiel et une diffusion incontrôlée de sa technologie.

Le débat devient plus sensible lorsqu’on rappelle que les grands modèles propriétaires, dont Claude, ont eux-mêmes été entraînés sur d’immenses volumes de contenus protégés, parfois issus de bibliothèques numériques controversées. Anthropic a d’ailleurs déjà été condamnée pour l’utilisation d’œuvres téléchargées illégalement.

Autrement dit : la frontière entre extraction illégitime et apprentissage “normal” reste juridiquement et éthiquement floue, et les accusations croisées illustrent surtout une guerre industrielle et stratégique.

Un autre point mérite attention : Anthropic indique avoir identifié des employés de ses concurrents à partir des métadonnées d’usage. Une précision qui interroge sur la capacité réelle de désanonymisation des utilisateurs, sujet particulièrement sensible pour les clients européens soumis au RGPD.

Derrière la polémique, un enjeu plus large se dessine : la confrontation entre modèles propriétaires fermés et modèles open source publiés sous licence ouverte. Et, en toile de fond, la bataille géopolitique autour de l’accès aux GPU, des contrôles à l’exportation et de la souveraineté technologique.

Ce n’est donc pas seulement une querelle de conditions d’utilisation. C’est un épisode de plus dans la course mondiale à l’IA — où propriété intellectuelle, régulation et rivalités étatiques s’entremêlent étroitement.

Source : BFM Tech

WhatsApp rouvre le front judiciaire face au régulateur européen

Il s’agit de l’une des amendes les plus lourdes jamais prononcées sous le RGPD : 225 millions d’euros infligés à WhatsApp en 2021.

Le reproche portait sur la transparence. WhatsApp était accusé de ne pas informer suffisamment clairement ses utilisateurs sur le partage de leurs données avec d’autres entités du groupe Meta, notamment à des fins de sécurité, d’amélioration des services et d’interactions inter-plateformes.

L’enquête avait été menée par l’autorité irlandaise (DPC), compétente au titre du mécanisme du guichet unique. Mais plusieurs autorités européennes, dont la CNIL, avaient contesté son analyse et le niveau de sanction envisagé. Faute de consensus, le Comité européen de la protection des données (CEPD) était intervenu sur le fondement de l’article 65 du RGPD et avait imposé une position plus sévère, conduisant à l’amende de 225 millions d’euros.

Jusqu’ici, la voie de recours des entreprises visait uniquement la décision finale de l’autorité nationale. Mais, WhatsApp a choisi une stratégie différente : contester directement la décision du CEPD, estimant qu’elle fixait en réalité les éléments déterminants du dossier.

Le Tribunal de l’Union européenne avait rejeté cette approche, considérant la décision du CEPD comme une étape intermédiaire, dépourvue d’autonomie propre.

WhatsApp a alors porté l’affaire devant la Cour de justice ; cette dernière a adopté une lecture inverse, jugeant qu’une décision du CEPD prise sur le fondement de l’article 65 est juridiquement contraignante et modifie directement la situation de l’entreprise concernée. Elle peut donc faire l’objet d’un recours direct devant le juge européen.

L’amende n’est pas annulée à ce stade. Mais l’arrêt redessine le paysage procédural.

Au-delà du cas WhatsApp, c’est l’architecture du guichet unique qui se clarifie. Le CEPD n’apparaît plus seulement comme un arbitre technique entre autorités nationales : ses décisions deviennent pleinement justiciables au niveau européen.

Pour les groupes opérant dans plusieurs États membres, ce n’est pas un ajustement marginal. C’est un levier stratégique supplémentaire — et un nouveau terrain contentieux potentiel.

Source : Usine Digitale

NIS 2 : le retard français s’enlise sur un article anti-backdoor

Plus d’un an après l’échéance européenne du 17 octobre 2024, la France n’a toujours pas transposé la directive NIS 2. Et le blocage ne serait pas technique, mais politique.

Au cœur du bras de fer : l’article 16 bis du projet de loi “Résilience des infrastructures critiques”, qui vise à empêcher l’État d’imposer l’intégration de backdoors dans les services de chiffrement, notamment les messageries sécurisées.

Pour rappel, NIS 2 élargit considérablement le périmètre des entités concernées (plus de 15 000 en France) et renforce les obligations : gestion formalisée des risques cyber, notifications d’incidents sous 24 heures, responsabilité accrue des dirigeants. La cybersécurité devient un sujet de gouvernance.

Mais l’amendement adopté au Sénat cristallise les tensions. Il vise à interdire toute obligation faite aux fournisseurs d’introduire des portes dérobées permettant un accès aux communications chiffrées. Pour ses défenseurs, une backdoor (même encadrée) affaiblit structurellement le chiffrement et crée une vulnérabilité exploitable par des acteurs malveillants. Pour certains services de renseignement, elle constitue un levier potentiel dans la lutte contre la criminalité grave.

Résultat : le texte, pourtant largement consensuel sur le reste, ne serait pas inscrit à l’ordre du jour.

Au-delà du cas NIS 2, c’est un débat plus large qui ressurgit : jusqu’où peut-on aller dans l’accès aux communications chiffrées sans fragiliser l’architecture même de la cybersécurité ?

Pendant ce temps, le calendrier européen avance. D’autres États membres ont déjà transposé la directive. En France, les obligations restent en suspens, laissant entreprises et administrations dans une incertitude juridique bien réelle.

Source : ZDNET

Les cyberattaques du mois

Cegedim Santé : 15 millions de données administratives de patients exposées

Fin 2025, une cyberattaque visant le logiciel médical de Cegedim Santé, utilisé par environ 1 500 médecins, a conduit à la fuite des données administratives de près de 15 millions de Français. Le ministère de la Santé l’a confirmé le 27 février.

Les informations concernées incluent nom, prénom, numéro de téléphone et/ou adresse postale. Pour environ 169 000 patients, des annotations libres rédigées par les médecins auraient également été exposées. En revanche, aucun dossier médical structuré, ordonnance ou résultat d’examen ne serait concerné selon les autorités.

L’origine exacte de la fuite reste incertaine : un hacker a revendiqué la détention des données, sans que l’on sache s’il est à l’origine de l’attaque ou s’il les a acquises secondairement via le dark web. Une enquête a été ouverte par le parquet de Paris.

Qualifiées “d’administratives”, ces données n’en demeurent pas moins hautement exploitables : identité complète, coordonnées fiables, informations pérennes. Autant d’éléments propices à des campagnes de phishing ciblé, d’usurpation d’identité ou de fraude durable.

Commission européenne : attaque sur l’infrastructure de téléphonie mobile

Le 30 janvier, la Commission européenne a détecté une intrusion visant son infrastructure centrale de gestion des appareils mobiles. Selon Bruxelles, l’incident pourrait avoir exposé les noms et numéros de téléphone de certains agents, sans compromission des appareils eux-mêmes.

La réponse aurait permis de contenir et nettoyer le système en neuf heures. Reste que l’institution demeure floue sur le périmètre réel : nombre de personnes concernées, exfiltration effective ou simple accès potentiel, niveau d’exploitation des données… L’enquête se poursuit.

Cet épisode rappelle une réalité structurelle : les institutions publiques figurent parmi les cibles prioritaires — près de 40 % des incidents recensés en Europe selon l’Enisa. Il intervient alors même que Bruxelles promeut un nouveau paquet cybersécurité centré sur la supply chain. La crédibilité stratégique commence aussi par la maîtrise de ses propres infrastructures.

FortiGate : 600 pare-feu compromis grâce à l’IA générative

Entre le 11 janvier et le 18 février, plus de 600 pare-feu FortiGate ont été compromis dans 55 pays. Selon Amazon Threat Intelligence, l’attaque ne serait pas l’œuvre d’un groupe étatique sophistiqué, mais d’un acteur russophone peu expérimenté… épaulé par des outils d’IA générative.

Aucune vulnérabilité zero-day : ports de gestion exposés, mots de passe faibles, authentification à facteur unique. L’IA aurait permis d’automatiser les scripts, d’ajuster les commandes en fonction des retours d’erreur et de pivoter dans les réseaux compromis. Plusieurs environnements Active Directory ont été touchés, avec extraction d’identifiants et tentatives de ciblage des systèmes de sauvegarde.

Ce cas ne révèle pas de faille inédite. Il montre autre chose : l’industrialisation des erreurs basiques. L’IA n’invente pas les vulnérabilités, elle accélère leur exploitation et réduit le coût d’entrée pour des acteurs moins structurés. La discipline opérationnelle redevient un facteur déterminant.

Fichier Ficoba : 1,2 million de comptes bancaires exposés

On parie que vous avez tous entendu parler de celle-là.

La Direction générale des finances publiques a confirmé une intrusion dans le fichier national des comptes bancaires (Ficoba). L’attaque aurait permis l’extraction de données relatives à 1,2 million de comptes.

Selon l’administration, l’attaquant aurait usurpé les identifiants d’un agent disposant d’accès transversaux. Les données concernées incluent IBAN, identité civile, adresse postale et parfois identifiant fiscal, mais ni soldes ni mouvements bancaires. La CNIL a été notifiée et une plainte déposée.

Même sans accès aux transactions, l’association IBAN + identité constitue une base exploitable pour des escroqueries ciblées. Ici, la sophistication technique importe moins que la profondeur des habilitations. Sur des bases aussi sensibles, la granularité des accès et la détection d’anomalies deviennent des enjeux structurants.

Choisir le Service Public : 377 000 candidats exposés

Le 28 janvier, la plateforme officielle de recrutement de la fonction publique (Choisir le Service Public) a été compromise via l’utilisation frauduleuse d’un compte gestionnaire. Les données personnelles de 377 418 candidats ont été extraites puis mises en vente sur le dark web.

Les informations exposées incluent identité, coordonnées, parcours académique et préférences géographiques. Les mots de passe et CV ne seraient pas concernés. L’origine exacte de la compromission n’a pas été détaillée.

Ce type d’incident illustre une constante : la valeur des comptes internes à privilèges élevés. Sur des plateformes concentrant des centaines de milliers de profils, un seul accès détourné suffit à provoquer une extraction massive. La question n’est plus uniquement technique, mais organisationnelle.

La Sapienza : un ransomware paralyse la plus grande université d’Europe

Début février, l’université La Sapienza de Rome (plus de 120 000 étudiants) a été frappée par une cyberattaque attribuée à un ransomware. Les systèmes ont été partiellement paralysés, les services numériques fortement perturbés.

Le malware suspecté, BabLock (Rorschach), est réputé pour son chiffrement avancé. Les autorités italiennes enquêtent.

L’enseignement supérieur confirme son statut de cible stratégique : volumes massifs de données personnelles et scientifiques, systèmes hybrides, budgets parfois contraints. Ce secteur concentre des vulnérabilités structurelles que les groupes criminels exploitent désormais méthodiquement.

Les campus ne sont plus des cibles opportunistes. Ils sont intégrés dans l’économie globale du ransomware

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les articles source. Et pour les prochaines, restez connectés. On revient fin mars avec un nouveau récap’ !