- Le blog et les actualités de Witik
- Cybersécurité & RGPD : Les actus d'août 2025
- 1 - Tchap devient obligatoire dans les ministères
- 2 - Chat Control : vers une surveillance généralisée des messages privés ?
- 3 - AI Act : au tour des modèles à usage général
- 4 - Crise cyber ? L’UE remplit sa réserve
- 5 - Perplexity AI accusé de ratisser le web… en douce
- 6 - Les cyberattaques du mois
- 7 - La CNIL ouvre enfin ses Rencontres au public
- 8 - Et voilà, vous êtes à jour !
Cybersécurité & RGPD : Les actus à ne pas manquer d'août 2025
:format(webp))
Vous croyiez qu’on sauterait l’édition d’août ? Eh non, chaque mois, nous sommes là à trier, synthétiser et clarifier l’essentiel de l’actualité pour vous.
C’est vrai qu’on n’a pas grand-chose à raconter cette fois-ci — mais c’est normal : c’est le calme d’août.
Allez, on fait le point (rapide mais efficace) ? C’est parti !
Tchap devient obligatoire dans les ministères
À partir du 1er septembre 2025, les agents de l’État devront utiliser la messagerie sécurisée Tchap pour leurs échanges professionnels. C’est officiel : une circulaire du Premier ministre impose son usage dans tous les ministères.
Objectif : souveraineté & sécurité
Exit WhatsApp, Signal ou Telegram pour les échanges pros internes. L’État veut reprendre le contrôle sur ses flux sensibles, en interdisant les messageries grand public — souvent hébergées hors UE et exposées à des lois extraterritoriales (coucou le Cloud Act…).
Tchap, développée par la Dinum, repose sur :
un chiffrement de bout en bout (protocole Matrix),
un hébergement souverain,
une conformité active avec les exigences de l’ANSSI.
Plus de 300 000 agents déjà utilisateurs
Tchap n’est pas nouvelle : elle est déjà utilisée “de façon récurrente” par plus de 300 000 agents publics. La nouveauté, c’est qu’elle devient désormais la solution par défaut pour toute l’administration.
La circulaire précise aussi que l’application Olvid, pourtant promue depuis 2023 auprès des cabinets ministériels, reste autorisée, mais doit passer au second plan. Tchap est présentée comme la seule messagerie pensée pour les besoins de l’administration et opérée sur une infrastructure 100 % publique.
🔗 Source : Le Figaro
Chat Control : vers une surveillance généralisée des messages privés ?
C’est une rumeur qui enflamme les réseaux depuis début août : “l’UE s’apprêterait à scanner tous nos messages privés”, y compris ceux chiffrés. Mais que dit vraiment le texte ?
Un projet de lutte contre les contenus pédocriminels
Le règlement CSAM (pour Child Sexual Abuse Material), surnommé “Chat Control”, vise à mieux détecter et bloquer les contenus pédopornographiques diffusés en ligne. L’idée ? Mettre en place un “filet de sécurité numérique” capable de filtrer les contenus en amont, plutôt que d’attendre qu’ils soient signalés.
Mais la mesure soulève de lourdes inquiétudes, notamment parce qu’elle pourrait s’appliquer aux messageries chiffrées, type WhatsApp, Signal ou Telegram. Pour ses détracteurs, cela reviendrait à casser le chiffrement et à créer des portes dérobées exploitables… y compris par des acteurs malveillants.
Juridiquement, rien n’est acté
Non, le projet n’a pas encore été adopté. Faute de consensus, il a été repoussé plusieurs fois depuis 2022.
Plusieurs pays (dont la Belgique, la Pologne, et récemment le Danemark) ont proposé des versions amendées : demande de consentement, exclusion des messages chiffrés, limitations par cas.
Un nouveau débat aura lieu en octobre, et un vote final pourrait intervenir fin 2025 ou début 2026.
Les garde-fous existent (sur le papier)
Le RGPD, le DSA et les lois nationales restent en vigueur. Toute mesure généralisée de surveillance devrait passer le filtre des juridictions nationales… et de la Cour de justice de l’UE.
Bref : le débat est légitime, les risques existent, mais le projet reste très controversé, loin d’être validé tel quel.
🔗 Source : TF1info
AI Act : au tour des modèles à usage g�énéral
Le 2 août 2025 marque une nouvelle étape : les fournisseurs de modèles d’IA à usage général (GPAI) — type OpenAI, Mistral, Meta ou Microsoft — doivent désormais se mettre en conformité avec l’AI Act.
Vous le saurez surement déjà, mais un petit rappel de ce qui change ne fera certainement pas mal.
Ce qui change au 2 août
Les fournisseurs de GPAI doivent désormais :
maintenir une documentation technique complète,
publier un résumé détaillé des données d’entraînement,
mettre en œuvre une politique claire sur le respect du droit d’auteur,
désigner un représentant légal dans l’UE, s’ils sont basés hors Europe.
Et pour les modèles dits “à risque systémique” ?
Des obligations renforcées s’ajoutent : notification auprès du Bureau européen de l’IA, évaluations de risques renforcées, et collaboration directe avec les autorités.
Qui est concerné ?
Un nombre restreint d’acteurs pour l’instant, surtout les géants du secteur.
Mais même les startups européennes sont visées, et pour elles, la marche est haute : peu de moyens, mais les mêmes exigences de transparence et de robustesse.
Du côté des entreprises utilisatrices, aucune obligation directe à ce stade — sauf à s’assurer que leurs fournisseurs IA sont conformes, via les clauses contractuelles.
Sanctions, gouvernance, et cacophonie administrative
En cas de non-conformité, les sanctions peuvent grimper à 15 M€ ou 3 % du CA mondial — à partir du 2 août 2026.
Côté France, on ne sait toujours pas quelle autorité supervisera l’AI Act. La CNIL est pressentie, mais l’hypothèse d’une gouvernance à plusieurs têtes (CNIL, Arcom, DGCCRF…) reste sur la table.
Et pour les juristes ? Le RIA vient s’ajouter au millefeuille réglementaire (RGPD, NIS2, DORA…), ce qui fait grincer des dents côté conformité.
🔗 Source : L’Usine Digitale
Crise cyber ? L’UE remplit sa réserve
L’ENISA, l’agence européenne pour la cybersécurité, reçoit un joli coup de pouce : 36 millions d’euros pour piloter la réserve cyber de l’UE, un dispositif clé prévu par le Cyber Solidarity Act.
L’objectif ? Ne plus être pris de court en cas d’attaque majeure. Avec ce budget, l’ENISA va pouvoir :
Sélectionner des prestataires de confiance prêts à intervenir (contenir une attaque, maintenir les services critiques, relancer l’activité…),
Coordonner les interventions, y compris dans les cas transfrontaliers,
Et même, en temps de calme, mobiliser ces ressources pour des exercices de crise, audits ou tests de sécurité.
Qui pourra y faire appel ?
Les secteurs critiques couverts par NIS2, les institutions européennes, et même certains pays tiers associés au programme "Europe numérique".
🔗 Source : European Commission
Perplexity AI accusé de ratisser le web… en douce
Nouvelle polémique autour de Perplexity AI, moteur de recherche boosté à l’IA : Cloudflare l’accuse d’avoir contourné les blocages mis en place par les sites web pour collecter leurs contenus. En clair : des crawlers furtifs, camouflés comme des navigateurs Chrome, qui scannent des pages pourtant protégées.
Ce qu’on lui reproche
Ignorer les fichiers robots.txt, censés limiter l’indexation,
Utiliser des IP tournantes pour passer sous les radars,
Se faire passer pour un utilisateur classique pour accéder à du contenu bloqué aux robots.
Cloudflare parle de millions de requêtes quotidiennes sur des dizaines de milliers de domaines. Et ce, malgré le fait que de nombreux sites refusent l’accès à leur contenu aux IA génératives, souvent pour éviter d’être aspirés sans autorisation ni rémunération.
La défense de Perplexity ?
Leur système ne crawlerait que sur demande de l’utilisateur, sans stocker les données pour l'entraînement. Et selon eux, Cloudflare cherche juste un coup de publicité.
Problème : ce n’est pas la première fois que Perplexity est pointé du doigt pour du scraping non autorisé. Forbes et Wired l’avaient déjà accusé de plagiat il y a quelques mois.
À noter : Cloudflare travaille désormais sur une option “Pay per Crawl”, pour permettre aux éditeurs de choisir les IA qui peuvent accéder à leur contenu… en échange d’un paiement.
En attendant, affaire à suivre.
🔗 Source : TechCrunch
Les cyberattaques du mois
Bouygues Telecom
Le 4 août, l’opérateur a détecté une cyberattaque ayant permis à un tiers non autorisé d’accéder aux données personnelles de 6,4 millions de clients : état civil, coordonnées, données contractuelles… et IBAN. Aucun mot de passe ou numéro de carte bancaire ne figure dans les données compromises.
Bien qu’un IBAN ne permette pas, à lui seul, d’effectuer des prélèvements, il peut être exploité dans des tentatives d’usurpation d’identité ou de fraude bancaire, surtout s’il est combiné à d’autres infos personnelles. L’opérateur recommande donc de rester vigilant, notamment vis-à-vis du phishing.
🔗 Source : Bouygues
Microsoft Exchange
Une faille critique (CVE-2025-53786) affecte les serveurs Exchange hybrides. Elle permettrait à un attaquant d’accéder à Exchange Online via des privilèges élevés.
1600 serveurs restent vulnérables en France, malgré un correctif publié en avril. Microsoft juge l’exploitation “probable” et l’Anssi a lancé une alerte.
🔗 Source : L’Usine Digitale
Google & Cisco
Deux campagnes de phishing vocal (vishing) ont permis à des attaquants de récupérer des identifiants et d’accéder à des bases de données clients via des outils CRM, comme Salesforce.
Des données commerciales de base (noms, coordonnées, ID utilisateurs) ont été exfiltrées, sans mot de passe ni donnée sensible selon les entreprises—rassure Cisco.
Google pointe du doigt le groupe d’hackers ShinyHunters, soupçonné de préparer un site de fuite de données.
🔗 Source : Le monde informatique
Air France-KLM
Un prestataire de relation client a été compromis, entraînant une fuite de données personnelles de passagers : noms, coordonnées, informations sur le programme de fidélité Flying Blue. Aucune donnée sensible (carte bancaire, passeport, mot de passe) ne serait concernée, selon le groupe.
L’incident, notifié à la CNIL et à son équivalent néerlandais, soulève un risque accru de phishing ciblé. La compagnie devient la 3e du secteur touchée cet été.
🔗 Source : Les Echos
Pandora
Le 5 août, la marque danoise a averti ses clients d’une fuite de données survenue via la plateforme d’un prestataire externe, probablement Salesforce. Les noms, dates de naissance et adresses e-mail ont été dérobés, mais Pandora assure qu’aucune donnée bancaire ou confidentielle n’est concernée.
L’entreprise recommande la vigilance face aux campagnes de phishing, possibles via usurpation de son identité visuelle. Cette attaque s’inscrit dans une tendance croissante de ciblage des CRM, déjà observée chez Google ou Air France.
🔗 Source : L’Usine Digitale
La CNIL ouvre enfin ses Rencontres au public
Pour la première fois, la CNIL ouvre ses Rencontres Informatique & Libertés au public. Organisée le mardi 30 septembre 2025, cette matinée s’adresse aux étudiants, avocats, DPO et universitaires, avec un objectif : créer un espace de dialogue autour des enjeux juridiques contemporains liés à la protection des données personnelles.
Deux tables rondes sont prévues :
Vie privée au travail : quelles pratiques adopter pour concilier surveillance numérique, respect de la vie privée et performance en entreprise ?
RGPD et AI Act : comment articuler protection des données et développement de l’intelligence artificielle ? Quelles garanties pour préserver les droits fondamentaux dans l’usage des systèmes IA ?
L’événement promet un éclairage concret sur les croisements entre droit du travail, technologies émergentes et libertés individuelles.
Vous voulez en savoir plus ? Cliquez ici pour découvrir le programme et les modalités d’inscription.
Et voilà, vous êtes à jour !
Si une actualité vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin septembre avec un nouveau récap’ !
:format(webp))
)
)