Cybersécurité, RGPD & IA : Les actus à ne pas manquer de novembre 2025 

Des IA qui hallucinent, des géants qui reculent, des hackers qui avancent.

Novembre n’a pas levé le pied : cyberattaques d’ampleur, rebondissements réglementaires, détournements d’IA, et géants du web en mode esquive. L’Union européenne s’interroge, LinkedIn tente sa chance, et Claude (l’IA, pas votre voisin) s’est retrouvé enrôlé dans une opération de cyber-espionnage.

Heureusement, comme chaque mois, on a trié, synthétisé et condensé le meilleur — ou le pire — de l’actualité numérique.

On s’y met ? C’est parti.

Digital Omnibus : la réforme qui pourrait tout changer (ou presque) 

Le Digital Omnibus, dévoilé par la Commission européenne, fait déjà couler beaucoup d’encre.  

Au programme : une réforme d’ampleur qui retouche en profondeur le RGPD, bouscule les règles de cybersécurité et ouvre la voie à une plus grande réutilisation des données par les acteurs de l’IA.  

Si l’ambition est d’alléger la paperasse (notamment pour les PME), certains y voient une porte ouverte aux abus. 

On vous a décortiqué cette proposition dans cet article dédié.

Source : Commission européenne

Pister les fonctionnaires européens via la pub ? Oui, c’est (encore) possible 

C’est un scoop qui fait froid dans le dos : des journalistes ont découvert que les déplacements de centaines de hauts fonctionnaires européens étaient accessibles en ligne… à partir de données issues d’applis mobiles. Oui, vous avez bien lu. 

En cause ? Les Mobile Advertising IDs (MAID) — ces identifiants publicitaires uniques attribués à nos téléphones — combinés à des données GPS collectées par certaines applis et revendues à la chaîne par des courtiers en données. Résultat : il est possible d’identifier à la loupe le domicile, les trajets quotidiens et même le bureau précis de responsables de la Commission européenne ou de l’OTAN. Un scénario digne d’un roman d’espionnage… sauf que c’est bien réel. 

Le problème est double : 

1. Ces données ne sont pas vraiment anonymes. Elles sont “pseudonymisées” — mais si vous suivez un MAID dans le temps, vous pouvez facilement retrouver son propriétaire. 

1. Le consentement est bancal : en théorie obligatoire, il est souvent obtenu via des manipulations d’UX (dark patterns, cases pré-cochées…) — voire pas du tout contrôlé par les courtiers qui rachètent les données. 

Résultat : un boulevard pour la surveillance ciblée, des failles béantes en matière de sécurité nationale… et un RGPD mal outillé pour encadrer ces pratiques opaques. Pire : le projet ePrivacy, censé combler ces trous, a été abandonné. 

En réaction, la Commission européenne a publié de nouvelles consignes internes : désactivation du pistage pub obligatoire pour ses agents, et mobilisation des CSIRT des États membres. C’est un début.

Source : Le Monde

Data centers IA : la France muscle (doucement) son jeu 

Pas de guests américains pour cette édition du sommet Choose France, mais un casting 100 % bleu-blanc-rouge. Objectif : mettre en lumière les investissements de grandes entreprises françaises sur le territoire. Verdict ? 30 milliards d’euros annoncés, dont 9,2 milliards dédiés à de nouveaux projets. Et dans le lot, une vague de data centers taillés pour l’IA. 

Opcore, futur poids lourd européen du calcul 

Avec 4 milliards d’euros à lui seul, Opcore (filiale d’Iliad, co-détenue par InfraVia) rafle la plus grosse annonce. Leur projet : un data center géant sur l’ancien site EDF de Montereau (Seine-et-Marne). Mise en service prévue dès 2027, grâce au fast-track de l’État. Le site ambitionne de devenir l’un des plus gros centres de calcul d’Europe. Rien que ça. 

Eclairion accélère aussi 

L’autre nom à retenir, c’est Eclairion. La startup, spécialisée dans les supercalculateurs, investit 2,5 milliards d’ici 2027. Au programme : 

• Deux nouveaux data centers en Moselle, sur des friches EDF. 

• L’extension de son site à Bruyères-le-Châtel, qui passera de 40 à 100 mégawatts pour héberger notamment le cluster de Mistral AI. 

• Des renforts à Bessé-sur-Braye (Sarthe), avec une inauguration prévue en 2028. 

Sesterce et Sanofi complètent le tableau 

Autre acteur IA : Sesterce, qui va muscler son data center de Valence pour atteindre 80 mégawatts (1,5 milliard investis). Et dans un tout autre registre, Sanofi mise 300 millions d’euros sur de nouveaux équipements IA. 

Des milliards… mais encore loin du compte ? 

Derrière les gros montants, une réalité plus nuancée : moins d’un tiers des annonces concernent de vrais nouveaux projets. Et les investissements restent modestes comparés aux centaines de milliards injectés outre-Atlantique. 

La dynamique est lancée, certes. Mais la souveraineté numérique made in France a encore du chemin avant de peser à l’échelle mondiale. 

Source : Usine Digitale 

Brésil : bientôt un pays “adéquat” pour vos transferts de données ? 

C’est (presque) officiel : le Brésil se rapproche d’un statut de pays “adéquat” au sens du RGPD. Le 4 novembre, le CEPD (le Comité européen de la protection des données) a validé le projet de décision de la Commission en ce sens. Résultat : sauf surprise de dernière minute, les transferts de données personnelles vers le Brésil pourraient bientôt se faire sans clause contractuelle ni demande d’autorisation spécifique. 

Un vrai pas en avant pour fluidifier les échanges avec les partenaires brésiliens — et une reconnaissance du sérieux de leur cadre légal. Le CEPD salue d’ailleurs la forte convergence entre la loi brésilienne et le RGPD, y compris sur les droits des personnes et le contrôle des accès par les autorités publiques. 

Quelques bémols subsistent (notamment sur les AIPD, la transparence face au secret industriel ou encore la gestion des transferts ultérieurs), mais ils sont jugés mineurs et devraient faire l’objet d’un suivi renforcé. 

À retenir : 

• Une future décision d’adéquation simplifierait considérablement vos flux vers le Brésil. 

• La loi locale reste partiellement hors-champ pour les traitements menés à des fins de sécurité nationale ou de justice pénale. À suivre si vous travaillez avec le secteur public brésilien. 

• Prochaine étape : adoption formelle par les États membres et la Commission. 

En clair : si vous avez des prestataires, filiales ou partenaires au Brésil, c’est le moment de vous préparer — cette décision va changer la donne. 

Source : CNIL

Google muscle la confidentialité de ses IA avec Private AI Compute 

Google a présenté une nouvelle technologie baptisée Private AI Compute. L’idée ? Faire tourner ses IA dans le cloud (à distance), tout en garantissant une vraie confidentialité des données. 

Pourquoi c’est important ? 

Les IA les plus puissantes (comme Gemini) ont besoin d’énormément de puissance de calcul. Impossible de les faire tourner uniquement sur votre téléphone. Le problème, c’est que envoyer des données dans le cloud, c’est souvent risqué côté vie privée. 

La promesse de Google 

Avec Private AI Compute, vos données sont traitées dans un environnement ultra-sécurisé, isolé du reste des serveurs Google. Même les employés n’y auraient pas accès. Chiffrement de bout en bout, protections techniques avancées, traitement automatisé… sur le papier, tout est verrouillé. 

Un cadre technique (mais toujours américain) 

Sur le papier, l’approche est séduisante. Sauf que tout cela tourne encore dans des data centers sous juridiction américaine. Et malgré toutes les enclaves sécurisées du monde, le droit US — Cloud Act en tête — reste applicable. 

Source : Usine Digitale

OpenAI épinglée en Allemagne pour violation du droit d’auteur 

Nouvelle alerte juridique pour OpenAI : le tribunal régional de Munich vient de reconnaître que ChatGPT a reproduit sans autorisation les paroles de chansons protégées par le droit d’auteur, enfreignant ainsi la législation européenne. C’est une première décision de ce type sur le sol européen – et elle pourrait faire date. 

Les faits 

L’affaire remonte à une plainte déposée en novembre 2024 par la GEMA, l’équivalent allemand de la Sacem. En cause : la reproduction par ChatGPT de textes de chansons allemands dans ses réponses, sans licence ni autorisation préalable. Le tribunal a estimé que ces reproductions constituaient une mise à disposition du public non autorisée, une infraction directe aux droits d’exploitation des auteurs. 

Une première en Europe 

Cette décision, saluée par la GEMA, est le premier jugement européen reconnaissant une atteinte au droit d’auteur commise via l’entraînement ou les réponses d’un modèle d’IA générative. Elle fixe un précédent : les opérateurs de modèles doivent respecter les droits des créateurs, même si les données sont issues d’internet. 

OpenAI conteste 

OpenAI, de son côté, conteste la décision et explore ses voies de recours. L’entreprise rappelle que seules certaines paroles de chansons allemandes sont concernées, et que le jugement n’a pas d’impact immédiat sur ses utilisateurs ou partenaires. 

Source : Le Monde

Le risque cyber des fournisseurs, enfin pris au sérieux ? 

Longtemps restée cantonnée aux équipes IT et compliance, la gestion du risque cyber lié aux fournisseurs fait désormais son entrée au sommet des organigrammes. D’après le dernier baromètre du Cesin et Board of Cyber, plus d’une entreprise sur deux (54%) suit désormais ce risque au niveau du Comex ou de la direction générale – un chiffre en nette hausse depuis 2024. Et dans les secteurs régulés, comme la banque ou l’assurance, cette proportion grimpe à 82%. 

Ce réveil n’a rien d’anecdotique. À l’heure où les chaînes d’approvisionnement sont de plus en plus interconnectées, la cybersécurité des partenaires devient aussi stratégique que celle des systèmes internes. En cas de faille chez un prestataire – qu’il s’agisse d’un hébergeur, d’un fournisseur SaaS ou d’un logisticien –, les conséquences peuvent se propager à grande vitesse. 

Le rapport met aussi en lumière un changement dans la gouvernance : si les RSSI restent très impliqués, la direction juridique et les achats montent fortement en puissance, signe que le cyber est désormais traité comme un enjeu business. On parle de pilotage, de performance, de continuité d’activité. 

Mais attention : en pratique, la majorité des entreprises n’évalue toujours qu’un faible nombre de prestataires par an. Pour aller plus loin, les experts appellent à mutualiser les efforts (via des référentiels communs ou un éventuel “Cyberscore”), et à s’appuyer sur des outils automatisés pour industrialiser les contrôles. 

Auditer 7 000 tiers sans s’arracher les cheveux ? 
SODIAAL l’a fait. Découvrez leur méthode et leurs outils dans un replay plein de bonnes pratiques.

Une chose est sûre : le Third Party Risk Management (TPRM) est devenu un maillon central de la stratégie cyber. Et ceux qui l’ignorent encore risquent bien de se retrouver à la merci d’un fournisseur… moins rigoureux qu’eux. 

Source : Usine Digitale
 

AI Act : Bruxelles cède (un peu) sous la pression américaine

Coup de théâtre dans la régulation européenne de l’IA : la Commission européenne s’apprête à assouplir temporairement l’application de l’IA Act. Derrière ce recul ? Une triple pression : celle des États-Unis, des géants de la tech et de plusieurs États membres. 

Un délai pour les systèmes à haut risque 

L’Union envisage de repousser d’un an les exigences imposées aux systèmes dits à haut risque. Objectif : laisser aux entreprises le temps de s’adapter sans casser la dynamique du marché. 

Les sanctions liées au non-respect des règles de transparence (par exemple sur les données utilisées pour entraîner les IA) pourraient également être reportées à août 2027. 

Les grands modèles (temporairement) ménagés 

Les modèles d’IA déjà commercialisés (type OpenAI ou Mistral AI) bénéficieraient d’une pause réglementaire avant de devoir se mettre pleinement en conformité. Une manière de calmer le jeu alors que le marché européen de l’IA peine encore à s’imposer face à la concurrence américaine et chinoise. 

Une manœuvre politique assumée 

L’UE n’entend pas changer l’IA Act dans le fond, mais elle cherche à fluidifier sa mise en œuvre, en renforçant notamment le rôle de l’AI Office pour coordonner les États membres. Ce virage intervient alors que Washington multiplie les pressions diplomatiques, craignant un effet “extraterritorial” des règles européennes. 

En toile de fond : la crainte que Donald Trump, redevenu président, y voie une attaque commerciale et prenne des mesures de rétorsion. 

Source : Siècle Digital

Quand l’IA passe du côté obscur 

L’IA ne se contente plus d’assister les cybercriminels : elle devient leur bras armé. Le rapport publié par le Google Threat Intelligence Group début novembre a tiré la sonnette d’alarme : certains malwares embarquent désormais des modèles de langage directement dans leur code. Résultat ? Ces virus peuvent réécrire, camoufler ou adapter leur comportement en temps réel, sans intervention humaine. L’ère du malware autonome, dopé à Gemini ou Qwen, est lancée. 

Quelques jours plus tard, la démonstration grandeur nature tombait. La start-up Anthropic révélait que son assistant Claude Code avait été manipulé dans une vaste campagne de cyberespionnage attribuée à un groupe chinois soutenu par l’État. L’opération, extrêmement sophistiquée, exploitait Claude pour cartographier des réseaux, extraire des données et générer des rapports structurés — avec un taux d’automatisation estimé à 90 %. 

Entre virus capables de dialoguer avec des IA en pleine attaque et agents conversationnels détournés pour infiltrer des infrastructures critiques, le paradigme change. Ce n’est plus seulement la puissance des modèles qui inquiète, mais leur accessibilité et leur intégration directe dans des outils offensifs. Les cyberattaques se démultiplient, et les garde-fous techniques comme juridiques prennent un retard préoccupant. 

Cybersécurité : la France enclenche la mécanique NIS 2 

Après des mois d’attente, l’ANSSI vient d’ouvrir le portail de pré-enregistrement pour les entités concernées par la directive européenne NIS 2. Une étape symbolique mais décisive vers l’application effective de ce texte, censé renforcer la résilience des organisations face aux cybermenaces. 

Accessible depuis le 24 novembre, ce service permet aux entreprises de renseigner leurs données administratives en amont, avant que la procédure ne devienne obligatoire. Une manière d’anticiper la mise en conformité, de lisser la charge administrative, mais aussi d’accéder dès maintenant aux premiers outils d’accompagnement proposés par l’Anssi. 

Le périmètre de NIS 2 est beaucoup plus large que celui de sa première version. D’après l’agence, ce sont désormais plus de 15 000 entités, réparties dans 18 secteurs critiques, qui sont concernées – contre seulement 300 sous NIS 1. L'enjeu : structurer une réponse coordonnée et robuste aux attaques informatiques, dans un contexte où les infrastructures critiques (énergie, santé, transport...) sont devenues des cibles de choix. 

Si la directive est en vigueur au niveau européen, la France n’a toujours pas finalisé sa transposition. Le gouvernement a intégré ce chantier dans un projet de loi plus large sur la résilience des infrastructures critiques, adopté au Sénat mais retardé à l’Assemblée par la crise politique. Ce contexte n’empêche pas l’Anssi de prendre les devants pour enclencher le mouvement. 

Source : ANSSI

Les cyberattaques du mois 

SitusAMC : une faille chez un prestataire critique de la finance US 

Le 22 novembre, SitusAMC – prestataire majeur du financement immobilier aux États-Unis – a confirmé une cyberattaque avec exfiltration de données. L’incident, détecté dix jours plus tôt, n’a pas provoqué d’interruption de service, mais a mis au jour des documents comptables et contractuels sensibles. 

Des géants comme JPMorgan, Citigroup ou Morgan Stanley ont été alertés, sans que l’on sache si leurs données ont été touchées. L’inquiétude est palpable à Wall Street : notes internes, contrôles renforcés, et craintes de campagnes de phishing ciblé. 

Au-delà de l’attaque, c’est le rôle stratégique de SitusAMC dans l’écosystème financier qui alerte. Une brèche chez un prestataire peut entraîner des audits, des sanctions ou engager la responsabilité réglementaire des institutions clientes. Une piqûre de rappel sur le risque fournisseur en cascade. 

Colis Privé victime d’un piratage : les données de contact de clients exposées 

Colis Privé, filiale de CMA CGM, a été ciblée par une attaque informatique ayant permis un accès non autorisé à ses systèmes. Résultat : des données personnelles telles que nom, prénom, adresse postale, email et téléphone ont potentiellement fuité. Pas d’informations bancaires ni de mots de passe concernés, selon l’entreprise. 

Aucune activité frauduleuse n’a été détectée à ce jour, mais Colis Privé appelle à la vigilance : double authentification, méfiance face aux liens ou demandes douteuses… 

Ce n’est pas une première : le groupe avait déjà été touché en 2021. L’incident rappelle que même sans impact "critique", la fuite de données personnelles reste un vecteur de risques réel, en particulier pour le phishing. 

Urssaf : 1,2 million de salariés concernés par une fuite de données sur Pajemploi 

Le 17 novembre, l’URSSAF a reconnu avoir été victime d’un acte de cybermalveillance visant son service Pajemploi. Résultat : les données personnelles (nom, adresse, numéro de Sécurité sociale…) de jusqu’à 1,2 million de salariés de particuliers employeurs ont pu être exfiltrées. Aucune donnée bancaire ni mot de passe n’a été compromise selon l’organisme. 

La CNIL et l’ANSSI ont été alertées. Une plainte pénale est en préparation. Les personnes concernées seront notifiées individuellement, l’Urssaf appelant à la vigilance face aux risques de fraude. 

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin décembre avec un nouveau récap’ !