Cybersécurité, RGPD & IA : Les actus à ne pas manquer de mars 2026 

Entre régulation des biotechnologies, recul du chiffrement chez Instagram, souveraineté européenne dans l’IA, tensions autour des infrastructures télécoms et nouvelles lignes de fracture sur les transferts de données — voici ce qu’il faut retenir de l’actualité de mars.

Biotechnologies : le CEPD et l’EDPS soutiennent la simplification… sous conditions

Dans la continuité des débats autour de la simplification du cadre réglementaire européen, le CEPD et le Contrôleur européen de la protection des données (EDPS) se sont prononcés sur le projet de règlement relatif aux biotechnologies. L'objectif ? Renforcer la compétitivité européenne et harmoniser les règles applicables aux essais cliniques.

Sur le principe, les autorités soutiennent la démarche. La mise en place d’une base légale unique pour le traitement des données dans le cadre des essais cliniques est perçue comme un levier de simplification et de sécurité juridique, dans un écosystème aujourd’hui fragmenté.

Mais le signal est clair : simplifier ne doit pas se faire au détriment de la protection des données. Les données de santé et génétiques, au cœur des essais cliniques, restent parmi les plus sensibles.

Plusieurs points de vigilance sont ainsi soulevés :

• clarification des rôles entre acteurs (responsables uniques ou conjoints),

• encadrement strict des durées de conservation (notamment la limite des 25 ans),

• définition précise des finalités en cas de réutilisation des données,

• ou encore articulation avec le règlement sur l’IA.

Autre enjeu clé : l’opérationnalisation. Le CEPD et l’EDPS insistent sur la nécessité de mesures techniques concrètes, comme la pseudonymisation systématique lorsque cela est possible, et sur un cadre juridique clair pour les dispositifs expérimentaux type “bacs à sable”.

En filigrane, une ligne constante : oui à l’harmonisation et à la compétitivité, mais sans dilution des garanties. Dans un secteur où innovation et données sensibles sont étroitement liées, l’équilibre reste particulièrement délicat.

Source : CNIL

Instagram tourne le dos au chiffrement de bout en bout

Meta a annoncé la suppression du chiffrement de bout en bout des messages privés sur Instagram à partir du 8 mai 2026. Une fonctionnalité pourtant conçue pour empêcher toute lecture des conversations (y compris par la plateforme elle-même) , mais jugée trop peu utilisée pour être maintenue.

Concrètement, ce changement marque un basculement important : les messages ne seront plus protégés par ce niveau de sécurité, ce qui signifie que Meta pourra désormais accéder à leur contenu. Une évolution qui ouvre aussi la voie à une transmission possible aux autorités, notamment dans un cadre judiciaire.

Jusqu’ici, le chiffrement de bout en bout (activé uniquement sur certaines conversations) garantissait que seuls les utilisateurs pouvaient lire les messages. Sa suppression remet la plateforme au centre de la chaîne de confiance.

Officiellement, Meta invoque un manque d’usage. Mais en creux, d’autres enjeux apparaissent. L’accès aux contenus facilite la modération, la détection des fraudes ou des comportements abusifs, dans un contexte de pression croissante des régulateurs, notamment sur la protection des mineurs.

Ce choix illustre une tension de fond : plus de sécurité technique pour les utilisateurs, ou plus de capacité de contrôle pour la plateforme. Instagram tranche ici clairement en faveur de la seconde option.

Un arbitrage qui dépasse le simple cadre produit, et qui relance un débat bien connu : jusqu’où peut-on limiter le chiffrement au nom de la sécurité ?

Source : BFM

OVHcloud se positionne sur l’IA souveraine avec le rachat de Dragon LLM

OVHcloud poursuit sa montée en puissance dans l’IA générative avec le rachat de Dragon LLM, spécialiste du fine-tuning. Un mouvement stratégique qui marque une évolution claire : ne plus se limiter à l’infrastructure, mais remonter dans la chaîne de valeur.

Jusqu’ici positionné comme fournisseur de capacités cloud, OVHcloud investit désormais les couches applicatives et algorithmiques. Le fine-tuning (cœur de métier de Dragon LLM) permet d’adapter des modèles à des usages métiers spécifiques, notamment dans des environnements sensibles. En internalisant cette compétence, le groupe se positionne sur des cas d’usage à forte valeur, là où les enjeux de contrôle, de conformité et de personnalisation sont critiques.

L’opération s’inscrit dans une stratégie plus large : la création d’un AI Lab dédié au développement de modèles souverains, capables de fonctionner aussi bien dans le cloud que sur des infrastructures locales. L’objectif est double : proposer une alternative européenne crédible face aux hyperscalers américains, tout en répondant à des exigences réglementaires croissantes.

Reste une question : cette approche suffira-t-elle à rivaliser avec des écosystèmes déjà largement dominés par les géants américains ?

Source : Le Monde Informatique

Réseaux mobiles : l’Europe pose le cadre pour exclure Huawei

Peut-on interdire certains équipements télécoms au nom de la sécurité nationale ? Et surtout : qui en assume le coût ?

C’est la question posée à la Cour de justice de l’Union européenne dans une affaire opposant l’opérateur Elisa Eesti aux autorités estoniennes. En cause : la limitation de l’usage d’équipements Huawei dans les réseaux 2G, 4G et 5G, autorisés uniquement de manière temporaire avant leur remplacement.

Dans son avis rendu le 19 mars 2026, l’avocate générale de la CJUE apporte une réponse claire : les États membres peuvent restreindre l’utilisation d’équipements jugés “à haut risque”. Mais pas sans cadre.

Ces décisions relèvent bien du droit européen. Elles constituent une restriction à la liberté de fournir des services télécoms, et doivent donc être justifiées. Concrètement, les États doivent démontrer un risque réel pour la sécurité des réseaux, en s’appuyant sur des éléments objectifs : rôle des équipements, usage dans l’infrastructure, profil du fournisseur.

Autrement dit : pas d’exclusion automatique. Chaque restriction doit être proportionnée et argumentée.

Mais le point le plus structurant est ailleurs.

L’avocate générale estime que ces mesures ne constituent pas une privation de propriété, mais une simple réglementation de l’usage des équipements. Résultat : pas d’indemnisation automatique pour les opérateurs contraints de remplacer leur matériel.

Sauf exception, le coût de ces décisions repose donc sur eux.

Si la Cour suit cet avis, le cadre sera clarifié : les États peuvent exclure des fournisseurs pour des raisons de sécurité, à condition de le justifier et les opérateurs devront en assumer les conséquences économiques.

Source : Usine Digitale

ESTA : vers une collecte massive de données sur les voyageurs européens ?

Aller aux États-Unis pourrait bientôt ressembler à un audit de votre vie personnelle.

Washington envisage de revoir en profondeur le fonctionnement de l’ESTA, ce dispositif qui permet aux Européens de voyager sans visa. Objectif affiché : renforcer les contrôles. Mais dans les faits, la réforme pourrait élargir très largement la nature des données exigées.

Dans le viseur : l’activité sur les réseaux sociaux des cinq dernières années, mais aussi des informations sur les membres de la famille. Autrement dit, des données qui dépassent largement le cadre du simple déplacement.

Face à cette évolution, le Comité européen de la protection des données s’alerte. Dans une lettre adressée à la Commission européenne, il pointe un risque clair : une collecte massive, difficilement justifiable, et entourée de nombreuses incertitudes.

Que deviennent ces données une fois transmises ? Pendant combien de temps sont-elles conservées ? Les citoyens européens peuvent-ils réellement exercer leurs droits ? À ce stade, les réponses restent floues.

Autre sujet de friction : la possible obligation de passer par une application mobile pour déposer sa demande. Un changement technique en apparence, mais qui soulève de nouvelles questions sur le traitement et la sécurisation des données.

Ce projet ne tombe pas dans un vide juridique. Il s’inscrit dans un contexte déjà tendu entre l’Union européenne et les États-Unis sur les transferts de données, régulièrement remis en cause par les juridictions européennes.

Source : Usine Digitale

Messageries sous attaque : les comptes de responsables publics dans le viseur

Les autorités françaises alertent sur une vague d’attaques visant directement les messageries instantanées de responsables politiques, de hauts fonctionnaires et de profils sensibles. Ici, la cible n’est pas l’infrastructure, mais les comptes eux-mêmes.

L’objectif est simple : en prendre le contrôle.

Une fois l’accès obtenu, les attaquants peuvent consulter l’historique complet des échanges, accéder aux contacts… et surtout, se faire passer pour la victime. De quoi ouvrir la voie à des opérations d’espionnage, mais aussi de manipulation et de désinformation.

Ces attaques ne reposent pas sur des failles techniques complexes, mais sur l’exploitation de fonctionnalités légitimes des applications. Faux support technique pour récupérer des codes de connexion, invitation à scanner un QR code pour “sécuriser” un compte… en réalité, pour l’associer à un appareil contrôlé par l’attaquant.

Signal est particulièrement ciblée. Mais le message des autorités est clair : aucune messagerie grand public n’est épargnée. WhatsApp a également été visée ces derniers mois.

Les investigations évoquent une possible implication d’acteurs liés à la Russie, dans un contexte plus large d’ingérence et d’opérations hybrides.

Face à cette menace, le Centre de coordination des crises cyber appelle à une vigilance immédiate : vérifier les appareils connectés, supprimer les accès suspects, signaler toute anomalie.

Pour les administrations, la recommandation est explicite : privilégier des solutions souveraines comme Tchap pour les échanges sensibles.

Source : BFM Tech

Données de santé : le Conseil d’État valide l’hébergement chez Microsoft

Le Conseil d’État valide un choix controversé : Microsoft pour héberger des données de santé.

Dans une décision du 20 mars 2026, le Conseil d’État valide l’autorisation donnée par la CNIL au projet “Darwin EU”, confirmant ainsi la possibilité d’héberger des données de santé sur une infrastructure Microsoft.

Au cœur du litige : l’utilisation de données issues du SNDS pour des études épidémiologiques, via le Health Data Hub, avec un hébergement assuré par Microsoft Ireland.

Plusieurs associations contestaient cette autorisation, en pointant un risque majeur : l’accès potentiel aux données par les autorités américaines, en raison du CLOUD Act.

Le Conseil d’État écarte cet argument… mais en le cadrant.

Première précision : la décision de la CNIL n’autorise aucun transfert de données de santé vers les États-Unis. Les traitements sont réalisés sur des infrastructures situées en France.

Deuxième point : le risque d’accès extraterritorial n’est pas nié, mais relativisé. Le juge reconnaît que certaines données techniques (comme des données de connexion) peuvent être accessibles depuis les États-Unis. En revanche, elles ne concernent pas les données de santé exploitées dans les études.

Surtout, il considère que les garanties mises en place sont suffisantes pour encadrer ce risque : pseudonymisation, limitation des durées de conservation, contrôle des accès, analyse du risque de réidentification.

Autrement dit, le risque existe… mais il est jugé acceptable au regard des mesures en place.

La décision apporte aussi un éclairage sur les standards de sécurité. Microsoft ne dispose pas de la qualification SecNumCloud, en raison de son rattachement au droit américain. Mais sa certification HDS est, dans ce contexte, considérée comme suffisante.

Ce jugement s’inscrit dans un contexte plus large. Depuis plusieurs années, le choix d’un hébergeur américain pour des données de santé sensibles fait débat. Et malgré cette validation juridique, le gouvernement continue d’afficher sa volonté de migrer vers une solution souveraine.

Une nouvelle procédure est en cours, avec une décision attendue dans les prochains mois.

Entre validation juridique et arbitrage politique, le dossier est loin d’être clos.

Source : La Tribune

Les cyberattaques du mois

Éducation : deux cyberattaques majeures confirment une vulnérabilité structurelle

Le secteur éducatif enchaîne les incidents.

Le 15 mars, une intrusion dans le système RH “Compas” de l’Éducation nationale a conduit à l’exfiltration de données concernant 243 000 agents. En cause : un compte externe compromis, sans exploitation de faille technique avancée. Détecté quatre jours plus tard, l’incident illustre une difficulté persistante : identifier des accès frauduleux lorsqu’ils reposent sur des identifiants légitimes.

Quelques jours plus tôt, une cyberattaque visant une application de gestion de l’Enseignement catholique exposait les données de 1,5 million de personnes — élèves, familles et enseignants. Là encore, les informations compromises (identité, coordonnées, date de naissance) constituent une base directement exploitable pour des campagnes de phishing ciblé ou des usurpations d’identité.

Dans les deux cas, les réactions ont été rapides : suspension des accès, activation de cellules de crise, notifications aux autorités et messages de vigilance auprès des personnes concernées.

Mais le point commun est ailleurs.

Ces attaques ne reposent pas sur des techniques sophistiquées. Elles exploitent des accès légitimes, des comptes compromis, des points d’entrée simples — avec des conséquences massives.

Le signal est clair : dans l’éducation, la vulnérabilité est moins technique que structurelle. Et ce ne sont pas les systèmes qui cèdent en premier, ce sont les accès.

Vivaticket : une attaque fournisseur expose potentiellement 3 500 organisations

Quand un prestataire tombe, c’est tout un écosystème qui vacille.

Vivaticket, acteur majeur de la billetterie pour les sites culturels et événements, a été victime d’une cyberattaque revendiquée par le groupe RansomHouse. En ligne de mire : une attaque de la chaîne d’approvisionnement, avec un impact potentiel sur plus de 3 500 organisations à travers le monde.

L’incident a émergé via plusieurs clients, dont le Louvre Lens et la BNF, alertant sur une compromission de certaines données liées à la billetterie en ligne. Les informations concernées seraient des données d’identification (nom, contact), sans exposition de données bancaires à ce stade.

Le mode opératoire est classique. RansomHouse publie un message sur son site de fuite, expose des échantillons de données et met la pression pour obtenir une rançon. Le groupe fonctionne sur un modèle de ransomware-as-a-service : une infrastructure fournie à des affiliés qui mènent les attaques.

Au-delà du cas Vivaticket, l’incident illustre un risque structurel : la dépendance à des prestataires critiques. Une compromission unique peut se propager à grande échelle, touchant des centaines d’organisations sans qu’elles soient directement ciblées.

Dans ce type de scénario, la sécurité ne se limite plus à son propre système. Elle dépend aussi — et surtout — de celle de ses fournisseurs.

Stryker : une cyberattaque à dimension géopolitique perturbe un géant du médical

La cyberattaque dépasse ici le cadre purement technique.

Stryker, l’un des principaux fabricants mondiaux d’équipements médicaux, a été visé par une attaque revendiquée par un groupe de hackers pro-iraniens. En toile de fond : des tensions géopolitiques, les attaquants évoquant des liens supposés entre l’entreprise et Israël.

L’incident a entraîné une perturbation d’une partie du réseau interne. Des postes de travail ont été effacés à distance, des systèmes modifiés et les employés invités à ne plus utiliser leurs appareils pendant la gestion de crise. À ce stade, les équipements médicaux eux-mêmes ne semblent pas avoir été impactés.

L’attaque a été revendiquée par le groupe Handala Hack, qui s’inscrit dans une mouvance hacktiviste pro-iranienne. Ces groupes, de plus en plus nombreux, mènent des opérations mêlant logique militante et objectifs d’influence, souvent en lien avec des contextes internationaux tendus.

Si les conséquences opérationnelles restent limitées, le signal est clair : certaines attaques ne visent pas seulement à perturber, mais aussi à envoyer un message.

Le cyberespace devient ainsi un terrain d’expression des conflits géopolitiques, où entreprises privées et infrastructures civiles peuvent être prises pour cibles, indépendamment de leur rôle direct.

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les articles source. Et pour les prochaines, restez connectés. On revient fin avril avec un nouveau récap’ !