Cybersécurité, RGPD & IA : Les actus à ne pas manquer de mai 2026 

AI Act, cybersécurité, DSA… la CNIL sous pression

Explosions des violations des données, montée en puissance de l'IA, sanctions record, réforme du financement des amendes...les sujets mentionnées dans le dernier rapport de la CNIL, publié ce 19 mai, sont nombreux, mais il y en a un qu, plus que d'autres, a retenu toute notre attention.

Le rapport annuel 2025 de la CNIL dresse un constat préoccupant : alors que les missions du régulateur continuent de s’élargir (AI Act, DSA, DGA, loi SREN…), ses moyens, eux, stagnent.

L’autorité explique fonctionner quasiment à flux tendu, avec des marges budgétaires extrêmement limitées et surtout… aucune création de poste prévue pour 2026. Une situation d’autant plus sensible que la CNIL devra jouer un rôle clé dans l’application du règlement européen sur l’IA, notamment sur les systèmes à haut risque, les systèmes interdits ou encore la protection des droits fondamentaux.

Le contraste est frappant : les violations de données continuent d’augmenter (+10 % en un an), les contrôles se multiplient, les sanctions atteignent des niveaux records… mais les ressources, elles, ne suivent pas.

Derrière le sujet budgétaire, une question plus large se pose : comment les autorités de contrôle peuvent-elles absorber la montée en puissance de la régulation numérique sans moyens supplémentaires ?

Dans son dernier rapport la CNIL essaie de tirer la sonnette d'alarme. Arrivera-t-elle aux bonnes oreilles ?

Pour accéder au rapport complet de la CNIL, RDV ici.

Source : Usine Digitale

IQVIA : 5 millions d’euros d’amende… et un rappel brutal sur les données de santé

Quand il s’agit de données de santé, la pseudonymisation ne suffit pas toujours. Et la CNIL vient de le rappeler très clairement. Le 26 mai, l’autorité a sanctionné IQVIA OPERATIONS FRANCE d’une amende de 5 millions d’euros.

En cause ? Défaut d’information des patients, exercice du droit d’opposition insuffisant, sécurité incomplète… mais surtout un sujet central : la pseudonymisation.

IQVIA considérait les données exploitées comme anonymes. La CNIL rejette clairement cette analyse. Pour l’autorité, les données restaient pseudonymisées, notamment en raison de leur richesse, de leur caractère longitudinal et de la possibilité de réidentifier certaines personnes via des croisements avec d’autres sources.

Et c’est probablement le vrai signal envoyé ici.

À mesure que les organisations accumulent des données toujours plus détaillées, la frontière entre anonymisation et pseudonymisation devient de plus en plus difficile à défendre. Supprimer le nom d’une personne ne suffit plus forcément à faire disparaître le risque.

Une décision qui rappelle aussi qu’en matière de données de santé, la conformité ne repose pas uniquement sur les déclarations… mais sur la capacité à démontrer concrètement que les garanties annoncées fonctionnent réellement.

Source : CNIL

Lunettes connectées : la CNIL entre dans le dossier

Vous vous souvenez de cette plainte en cours aux États-Unis qui voit les lunettes Meta sur le banc des accusés ?

La CNIL, elle aussi, commence à sérieusement se pencher sur le sujet.

Le 12 mai, l’autorité a annoncé le lancement de travaux dédiés aux lunettes connectées et à leurs impacts sur la vie privée. Car pour la CNIL, ces dispositifs changent profondément la manière dont des données peuvent être collectées au quotidien.

Là où sortir un smartphone pour filmer reste un acte visible, les lunettes connectées rendent la captation beaucoup plus discrète, voire presque imperceptible. Avec l’arrivée de l’IA embarquée, certains usages deviennent encore plus sensibles : analyse automatique de l’environnement, traduction en temps réel, déclenchement vocal, assistance contextuelle…

Autrement dit : des objets capables de capter en continu des informations sur l’utilisateur… mais aussi sur toutes les personnes autour de lui.

Et le sujet inquiète déjà largement. Selon le sondage publié par la CNIL, 81 % des Français estiment que le risque de captation sans consentement est plus élevé avec des lunettes connectées qu’avec un smartphone.

La CNIL prévoit désormais des travaux juridiques et techniques ainsi que des échanges avec ses homologues européens. Un signal clair : les wearables dopés à l’IA pourraient bien devenir l’un des prochains grands fronts de la régulation numérique.

Source : CNIL

Shein : l’Europe ouvre un nouveau front sur les transferts de données vers la Chine

Après TikTok, c’est au tour de Shein d’attirer l’attention du régulateur irlandais.

Le 5 mai, la Data Protection Commission (DPC) a annoncé l’ouverture d’une enquête visant la filiale européenne du géant chinois de l’ultra fast fashion. Derrière cette procédure, un sujet devenu particulièrement explosif : les transferts de données personnelles vers la Chine.

Car contrairement aux États-Unis, la Chine ne bénéficie d’aucune décision d’adéquation de l’Union européenne. En clair : impossible de considérer automatiquement que les données des Européens y bénéficient d’un niveau de protection équivalent au RGPD.

Et c’est précisément là que les choses se compliquent.

Même avec des clauses contractuelles types, les entreprises doivent encore démontrer que les données restent réellement protégées face aux lois locales. Or en Chine, les autorités disposent de larges pouvoirs d’accès aux données détenues par les entreprises présentes sur le territoire. Un point qui fragilise fortement l’équilibre juridique de ces transferts.

Le régulateur irlandais veut désormais examiner plusieurs sujets : information des utilisateurs, encadrement des transferts et garanties réellement mises en place autour des données européennes.

Et le précédent TikTok plane clairement sur le dossier. En mai 2025, la plateforme avait été condamnée à 530 millions d’euros d’amende pour des transferts vers la Chine jugés insuffisamment sécurisés.

Autrement dit : les flux de données entre l’Europe et la Chine sont en train de devenir l’un des nouveaux champs de bataille du RGPD.

Source : Usine Digitale

Linkedin dans le viseur de Noyb

LinkedIn peut-il refuser de communiquer certaines données au nom de la vie privée… tout en les commercialisant dans son abonnement Premium ?

C’est la question soulevée par l’association Noyb, qui a déposé une plainte contre le réseau social auprès du régulateur autrichien.

On rembobine.

Quand quelqu’un consulte votre profil LinkedIn, la plateforme peut parfois vous montrer qui c’était… à condition d’avoir un abonnement Premium.

Sinon ? Vous voyez simplement qu’une personne a visité votre profil, souvent de manière anonyme.

Le problème, selon Noyb, c’est que LinkedIn refuse également de communiquer cette liste gratuitement dans le cadre du droit d’accès prévu par le RGPD. Pourtant, ces mêmes informations sont bien exploitées — et monétisées — dans l’offre Premium du réseau social.

Pour se défendre, LinkedIn invoque la vie privée des visiteurs : révéler leur identité porterait atteinte à leurs droits. Mais pour Noyb, l’argument devient difficile à tenir dès lors que la plateforme accepte déjà de montrer ces informations… contre 29,99€ par mois.

Derrière ce dossier, une question plus large émerge : jusqu’où les plateformes peuvent-elles transformer certaines données en fonctionnalités payantes, lorsque ces mêmes données pourraient aussi relever des droits garantis par le RGPD ?

Source : Noyb

IA : la France veut sa “gigafactory” européenne

L’Europe veut ses propres géants du calcul pour l’IA. Et la France compte bien décrocher sa place.

Le 20 mai, plusieurs grands acteurs français, dont Scaleway, Orange, EDF, Capgemini ou encore Bull, ont officialisé le consortium “AION”, chargé de porter la candidature française dans le cadre du programme européen des “AI Gigafactories”.

Derrière ce nom un peu abstrait se cache un enjeu colossal : construire d’immenses centres de calcul capables d’entraîner et d’exécuter des modèles d’IA à très grande échelle. Chaque site pourrait regrouper plus de 100 000 puces IA avancées, pour un investissement estimé entre 3 et 5 milliards d’euros.

Et le sujet dépasse largement la seule question technologique.

Pour les acteurs du consortium, l’objectif est clair : éviter de reproduire “l’erreur du cloud”, autrement dit la dépendance massive de l’Europe aux infrastructures américaines. Derrière cette course aux gigafactories, c’est donc une bataille pour la souveraineté numérique européenne qui se joue.

Mais la réalité reste plus nuancée.

Car même si l’Europe cherche à reprendre la main sur ses infrastructures IA, la dépendance au hardware américain (notamment aux GPU Nvidia) reste, elle, bien réelle. Autrement dit : construire des centres de calcul souverains ne suffit pas forcément à garantir une autonomie stratégique complète.

La France mise néanmoins sur plusieurs arguments pour convaincre Bruxelles : stabilité énergétique, électricité bas carbone issue du nucléaire, infrastructures existantes et écosystème IA en forte croissance.

Reste maintenant à savoir quels pays décrocheront les cinq “gigafactories” promises par la Commission européenne. Et surtout : si l’Europe arrivera à accélérer suffisamment vite face aux États-Unis et à la Chine.

Source : BFM

L'Europe privée de Mythos

L’Europe veut accéder à Mythos. Les États-Unis disent non.

Pour rappel, Mythos est le modèle d’Anthropic capable d’identifier des milliers de vulnérabilités de sécurité dans des systèmes critiques. Lors de ses premiers tests, il aurait notamment permis de découvrir des failles dans plusieurs systèmes d’exploitation et navigateurs parmi les plus utilisés au monde.

Le problème ? Aujourd’hui, aucune institution européenne n’y a accès.

Selon plusieurs médias, l’administration américaine aurait bloqué une proposition visant à étendre l’accès à de nouvelles organisations, tandis que certains acteurs américains continuent, eux, d’utiliser le modèle.

Cette situation commence à inquiéter plusieurs responsables européens. Car si l’IA devient capable d’identifier plus rapidement les vulnérabilités les plus critiques, l’accès à ces outils pourrait rapidement devenir un avantage stratégique majeur en matière de cybersécurité.

Et c’est là que le sujet dépasse largement la cybersécurité.

Depuis plusieurs années, l’Europe débat de souveraineté numérique sous l’angle du cloud, des données ou des infrastructures. Avec Mythos, une nouvelle dépendance apparaît : celle aux capacités d’IA elles-mêmes.

Car si certains acteurs disposent d’outils capables d’identifier massivement des vulnérabilités critiques tandis que d’autres en sont privés, un nouvel écart technologique risque de se creuser. Une question qui pourrait rapidement devenir aussi stratégique que l’accès aux données ou aux infrastructures cloud.

Source : Les Numériques

Cybersécurité : l’ANSSI perd-elle la main sur la sécurité de l’État ?

Une fuite massive à l’ANTS, un plan d’urgence cyber, une nouvelle autorité baptisée “Ariane”… et immédiatement, les spéculations ont démarré : l’Anssi est-elle en train de perdre son rôle central dans la cybersécurité française ?

En réalité, le sujet est plus complexe.

Tout part de la réforme annoncée par le gouvernement autour du pilotage du numérique public, avec le rapprochement de plusieurs structures étatiques pour créer une future “Autorité du numérique et de l’intelligence artificielle de l’État”. Certains y ont vu une volonté de réduire l’influence de l’Anssi.

Mais l’agence a rapidement démenti toute remise en cause de son rôle. Son directeur, Vincent Strubel, l’a rappelé devant l’Assemblée nationale : l’Anssi reste “le chef d’orchestre de la cybersécurité”.

Le vrai problème est ailleurs.

Car aujourd’hui, l’Anssi sait détecter les vulnérabilités, publier des recommandations, définir des référentiels… mais elle ne dispose pas toujours du pouvoir nécessaire pour imposer concrètement les corrections aux administrations ou aux opérateurs publics.

Et c’est précisément là que la fuite de données de l’ANTS agit comme révélateur.

Derrière la cybersécurité, c’est en réalité toute la gouvernance numérique de l’État qui est questionnée : dépendance aux prestataires privés, dette technique, systèmes dispersés, manque de pilotage centralisé… La difficulté n’est plus seulement d’identifier les risques. C’est de pouvoir arbitrer rapidement et imposer les décisions.

Source : Usine Digitale

IA en entreprise : Microsoft veut reprendre le contrôle du “shadow AI”

Des salariés qui installent leurs propres agents IA sans prévenir l’IT, des outils connectés à des données sensibles, des automatisations invisibles pour les équipes sécurité…

Le “shadow AI” devient un vrai sujet de cybersécurité.

Pour y répondre, Microsoft a lancé Agent 365, une plateforme conçue pour détecter et superviser les agents IA utilisés dans les entreprises — y compris ceux installés localement sur les postes des employés sans validation préalable des équipes IT.

Et le risque est bien réel : agents connectés à des systèmes sensibles sans protection suffisante, fuites de données, ou encore attaques par “prompt injection”, où des instructions malveillantes sont dissimulées dans des contenus traités automatiquement par l’IA.

Derrière cette annonce, Microsoft reconnaît surtout une chose : les agents IA deviennent progressivement de nouveaux utilisateurs du système d’information… sans que les entreprises aient encore les outils pour réellement les gouverner.

Source : Usine Digitale

Les cyberattaques du mois

Almerys : une cyberattaque chez un prestataire impacte plusieurs mutuelles

Cette fois, ce ne sont pas directement les systèmes des mutuelles qui ont été attaqués.

C’est Almerys, acteur clé du tiers-payant en France, qui a été victime d’une cyberattaque ayant entraîné une fuite de données personnelles. Par effet domino, plusieurs assureurs et complémentaires santé, dont Alan, ont dû alerter leurs assurés.

Les données potentiellement compromises incluent notamment identité, date de naissance, numéro de sécurité sociale ou encore informations de couverture. Les données bancaires et les données de santé ne seraient, elles, pas concernées.

Mais le risque reste important.

La combinaison d’un état civil complet avec un numéro de sécurité sociale constitue une base particulièrement sensible pour des campagnes de phishing ciblé, des fraudes administratives ou des tentatives d’usurpation d’identité.

Service civique : une nouvelle fuite de données touche le secteur public

Quelques semaines après l’ANTS, c’est au tour de l’Agence du service civique de confirmer une fuite de données touchant sa plateforme de formation.

Les informations exposées incluent notamment état civil, adresses mail, coordonnées et informations liées aux structures concernées. L’incident aurait touché une plateforme gérée par des prestataires externes.

Mais plusieurs zones d’ombre subsistent : nombre exact de victimes, origine de l’intrusion, durée réelle d’exposition des données… et surtout, pourquoi près de trois semaines se sont écoulées avant l’information des personnes concernées.

Cet incident s’inscrit dans une série de cyberattaques visant les services publics français ces derniers mois. Et malgré les annonces gouvernementales et les plans d’urgence successifs, le constat reste le même : les administrations continuent de peiner à sécuriser un patrimoine numérique devenu extrêmement fragmenté

Mistral AI : une attaque via l’open source touche sa chaîne logicielle

Cette fois, Mistral AI n’a pas été attaqué directement.

L’incident est passé par TanStack, une bibliothèque open source utilisée dans sa chaîne logicielle. Des hackers ont réussi à compromettre certains packages distribués aux développeurs via npm et PyPI afin d’y injecter du code malveillant.

L’objectif : récupérer des identifiants présents sur les machines infectées.

Mistral affirme que ses infrastructures, ses modèles et les données utilisateurs n’ont pas été compromis. Mais l’incident rappelle une réalité devenue centrale : aujourd’hui, les attaques passent de plus en plus par les dépendances logicielles.

Et dans un écosystème IA largement construit sur des briques open source interconnectées, compromettre un simple composant peut parfois suffire à contaminer toute une chaîne de confiance.

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les articles source. Et pour les prochaines, restez connectés. On revient fin juin avec un nouveau récap’ !