Cybersécurité, RGPD & IA : Les actus à ne pas manquer de septembre 2025 

On pensait que la rentrée serait tranquille… raté. 

LinkedIn, Meta, l’AI Act, le Data Privacy Framework, sans oublier les cyberattaques qui ont secoué hôpitaux, aéroports et groupes de luxe : septembre n’a pas fait dans la demi-mesure. 

Pas d’inquiétude, on a condensé l’essentiel. Prêts ? C’est parti !  

LinkedIn va nourrir son IA avec vos données (sauf si vous dites non) 

À partir du 3 novembre 2025, LinkedIn pourra réutiliser certaines données de ses utilisateurs européens pour entraîner ses modèles d’IA générative. 

Quelles données, exactement ? 

• Ton titre de poste. 

• Tes compétences. 

• Ton parcours. 

• Tes contenus publics (posts, articles, commentaires). 

Bonne nouvelle : les messages privés restent intouchables. 

Et si ça ne vous plaît pas ? Pas de panique. 

Chaque utilisateur dispose d’un droit d’opposition (vous avez sans doute vu la bannière en haut de votre page LinkedIn). Un simple clic dans vos préférences suffit pour dire “non merci”, et vous pouvez changer d’avis à tout moment. LinkedIn conseille même de vérifier que votre refus est bien enregistré. 

Le réseau social mise sur la base légale de l’intérêt légitime. Traduction : refuser n’aura aucun impact sur vos fonctionnalités. Pas de chantage du type “accepte ou perds ton compte”. 

🔗 Source : Le Monde 

Meta passe en mode lobbying contre les régulations IA 

Les régulateurs veulent encadrer l’IA. Meta contre-attaque. 

Avec son nouveau PAC, l’American Technology Excellence Project, confié à Brian Baker (stratège républicain) et Hilltop Public Solutions (cabinet démocrate), le géant des réseaux sociaux entre en campagne. 

Le plan : investir des dizaines de millions pour peser sur les élections locales. 
L’arme : campagnes de pub, opérations d’influence, communication ciblée. 
L’objectif : freiner l’avalanche de projets de lois sur l’IA aux États-Unis. 

Une avalanche de régulations à contrer 

Meta tire la sonnette d’alarme : plus de 1 100 propositions de lois sur le numérique ont été déposées cette année aux États-Unis, souvent au niveau local. Problème selon eux : une “mosaïque incohérente” de textes qui freinerait l’innovation et minerait la compétitivité face à la Chine. 

Leur discours ? 

• Défendre le leadership technologique américain. 

• Soutenir le développement de l’IA. 

• Donner plus de contrôle aux parents sur l’usage de l’IA par leurs enfants. 

Une stratégie déjà bien rodée 

Ce n’est pas une première : en août, Meta avait déjà créé un PAC en Californie. Et ils ne sont pas seuls : a16z (Andreessen Horowitz) et Greg Brockman (OpenAI) ont lancé leur propre PAC doté de 100 M$. Bref : les géants de l’IA s’organisent pour peser sur les législations locales. 

Et en Europe ? 

La bataille se joue aussi de ce côté de l’Atlantique. Une enquête d’ONG (Corporate Europe Observatory & LobbyControl) a révélé comment Google, Microsoft, Amazon, Meta et OpenAI ont eu accès à des ateliers exclusifs pour influencer le Code de bonnes pratiques de l’IA, un texte accompagnant l’AI Act. 

🔗 Source : BFM 

AI Act : la France mise sur une gouvernance “éclatée” 

Le 9 septembre 2025, la France a dévoilé son dispositif pour appliquer l’AI Act. Plutôt qu’une autorité unique, l’État opte pour une répartition des rôles : la DGCCRF prend la main sur la surveillance opérationnelle, la DGE sur la coordination stratégique et la représentation à Bruxelles. 

Autour de ce duo, une quinzaine d’autorités sectorielles entrent dans la danse : 

• CNIL pour les données perso et la biométrie, 

• Arcom pour les contenus et deepfakes, 

• ANSM pour le médical, 

• ACPR pour le bancaire, 

• et même le ministère de l’Éducation pour l’usage des IA en classe. 

L’idée : miser sur la spécialisation. 
Le risque : créer une usine à gaz administrative difficile à lire pour les entreprises. 

Prochaine étape : passage du projet devant le Parlement avant sa mise en œuvre effective. 

🔗 Source : L’Usine Digitale 

UE - Brésil : vers une libre circulation des données 

Le 5 septembre 2025, la Commission européenne a lancé le processus d’adéquation RGPD avec le Brésil. En clair : Bruxelles considère que la loi brésilienne sur la protection des données (LGPD, en vigueur depuis 2020) offre un niveau de protection équivalent à celui de l’UE. 

Conséquence directe : plus besoin de clauses contractuelles lourdes et coûteuses pour transférer des données entre l’UE et le Brésil. Les flux pourront circuler librement, sans autorisation préalable. 

Un choix stratégique, alors que le Brésil est le premier marché d’Amérique latine et un partenaire économique majeur pour l’Europe. 

Avec cette décision, le Brésil rejoindra le cercle des 16 pays déjà jugés “sûrs” par l’UE (Royaume-Uni, États-Unis, Japon, Corée du Sud, Suisse, etc.). 

Prochaine étape : l’avis du Comité européen de la protection des données, puis l’approbation des États membres et du Parlement européen avant adoption finale. 

🔗 Source : EU Reporter  

Le Tribunal valide le Data Privacy Framework 

Le 3 septembre 2025, le Tribunal de l’UE a rejeté le recours de Philippe Latombe et confirmé la validité du Data Privacy Framework (DPF), l’accord qui encadre les transferts de données entre l’UE et les États-Unis. 

Une décision très attendue, car elle vient sécuriser juridiquement des milliers d’entreprises européennes et américaines, après les invalidations successives du Safe Harbor (2015) et du Privacy Shield (2020). 

Pourquoi c’est important ? 

• Jusqu’ici, le droit américain était jugé insuffisant face aux exigences du RGPD, notamment à cause de la surveillance de masse révélée par Edward Snowden. 

• En 2022, l’Executive Order 14086 a instauré un mécanisme de recours pour les Européens, ouvrant la voie au DPF adopté en 2023. 

• Le Tribunal reconnaît ces avancées, même si sa lecture se montre moins stricte que les arrêts Schrems I et II. 

Et maintenant ? 

Un pourvoi devant la Cour de justice reste possible. D’autant que certains garde-fous américains apparaissent fragiles depuis le retour de Donald Trump, ce qui pourrait relancer la saga transatlantique des transferts de données. 

🔗 Source : Le Club des Juristes  

Services publics : les syndicats disent non à une IA sous dépendance américaine 

La Commission européenne s’apprête à dévoiler sa stratégie “Apply AI” pour accélérer l’usage de l’IA dans les services publics (santé, justice, éducation, administrations). Objectif : moderniser, gagner en efficacité et renforcer la compétitivité européenne. 

Mais les syndicats du secteur (EPSU, 8 millions de salariés représentés) tirent la sonnette d’alarme.  

Dans une lettre adressée à Bruxelles, ils posent trois lignes rouges : 

• Souveraineté numérique : pas question de confier des données publiques sensibles aux géants US soumis au CLOUD Act. 

• Application stricte de l’AI Act : pas de déploiement de systèmes à haut risque (santé, justice) sans régulation immédiate. 

• Protection sociale : droit à l’information et à la consultation pour les agents publics, formations continues, et garanties contre la surcharge de travail. 

L’EPSU réclame même des clouds publics européens sous gouvernance démocratique, jugeant les initiatives actuelles (“EUStack”) trop centrées sur le marché. 

En clair : oui à l’IA dans les services publics, mais pas au prix d’une dépendance américaine ni d’un affaiblissement des droits des travailleurs. 

🔗 Source : L’Usine Digitale 

Atos & Wimi misent sur une suite collaborative souveraine 

Et justement, pendant que les syndicats réclament plus de souveraineté, certains acteurs passent à l’action. Le 16 septembre, Atos et Wimi ont dévoilé Workplace Souverain, une suite collaborative pensée pour les secteurs critiques (administrations, OIV, OSE…). 

L’ambition : offrir une alternative crédible à Microsoft 365 ou Google Workspace, avec : 

• une infrastructure française et européenne, 

• un hébergement certifié SecNumCloud (le plus haut standard ANSSI), 

• toutes les briques attendues : messagerie, partage de fichiers, visioconférence, gestion de projet, bureautique en ligne. 

Un projet qui ne sera pas simple face à la domination des hyperscalers, mais qui illustre une tendance de fond : construire des alternatives locales, alignées avec les exigences de souveraineté et de sécurité des données. 

🔗 Source : Atos   

RGPD + DSA : l’EDPB trace la ligne rouge pour les grandes plateformes 

Le Comité européen de la protection des données (EDPB) vient de publier ses lignes directrices pour articuler le RGPD avec le DSA (Digital Services Act). Objectif : aider les plateformes en ligne à modérer les contenus et cibler la pub… sans sacrifier la vie privée. 

🔎 Ce qu’il faut retenir : 

• Signalements : collecter uniquement les données strictement nécessaires. L’identité du notifiant ne peut être révélée qu’en cas de stricte nécessité (ex. contrefaçon). 

• Recommandations & pub ciblée : si le profilage est utilisé, les utilisateurs doivent avoir une alternative non personnalisée clairement présentée. 

• Mineurs : interdiction de la publicité basée sur le profilage quand l’âge est identifié « avec certitude raisonnable ». 

• Vérification d’âge : pas de collecte massive (pas de pièce d’identité systématique) — respect du principe de minimisation. 

Enfin, l’EDPB appelle à une coopération renforcée entre les autorités RGPD (comme la CNIL) et les nouveaux régulateurs DSA, pour éviter les incohérences… et les doubles sanctions. 

🔗 Source : EDPB 

Des données d’état civil en vente sur le dark web, l’ANTS dément 

Une base de 12 à 13 millions de données d’état civil circule actuellement sur le dark web, avec un échantillon mis en libre accès. Présentée comme provenant de l’Agence nationale des titres sécurisés (ANTS), elle alimente la rumeur d’une compromission des systèmes de l’établissement public. 

L’ANTS, chargée de délivrer les titres officiels (passeports, cartes d’identité, etc.), a immédiatement démenti toute intrusion. Elle souligne même des incohérences techniques dans les données exposées, laissant planer plusieurs hypothèses : 

• recyclage d’anciennes fuites, 

• agrégation de bases diverses vendues sous l’étiquette “ANTS” pour gonfler leur valeur, 

• fuite indirecte via un prestataire. 

Une plainte va être déposée contre les auteurs de la diffusion et contre toute personne attribuant faussement la fuite à l’ANTS. 

🔗 Source : 20 minutes 

Les sanctions du mois  

Samaritaine : 100K d’amende  

Le contexte 

En 2023, Samaritaine a discrètement installé des caméras… déguisées en détecteurs de fumée, avec micro intégré, dans ses réserves pour lutter contre des vols. Découvertes par les salariés, elles ont été retirées quelques semaines plus tard. 

Ce que reproche la CNIL 

• Caméras cachées = absence de loyauté (aucune analyse préalable ni inscription au registre). 

• Enregistrement sonore jugé excessif → atteinte à la vie privée. 

• DPO mis de côté → pas associé au projet avant son installation. 

🔗 Source : CNIL 

Google – 325 M€ d’amende  

Le contexte 

Saisie par NOYB, la CNIL a contrôlé Gmail et le parcours de création de compte Google. Verdict : Google insérait des pubs dans Gmail, déguisées en vrais mails, et imposait ses traceurs publicitaires sans consentement valable. 

Ce que reproche la CNIL 

• Prospection illégale : des pubs affichées entre les mails sans accord explicite des utilisateurs. 

• Traceurs publicitaires forcés : au moment de créer un compte, le parcours poussait à accepter la pub personnalisée. Le refus ? Plus compliqué et pas clairement expliqué. 

• Contexte aggravant : Google avait déjà été sanctionné en 2020 et 2021 pour des manquements similaires. 

La sanction 

• 325 M€ d’amendes (200 M€ pour Google LLC + 125 M€ pour Google Ireland). 

• Injonction : 6 mois pour corriger le tir, sinon 100 000 €/jour d’astreinte. 

🔗 Source : CNIL 

Shein – 150 M€ d’amende  

Le contexte 

En août 2023, la CNIL contrôle le site shein.com et découvre de graves manquements dans la gestion des cookies et traceurs. Verdict : une amende record de 150 M€. 

Ce que reproche la CNIL 

• Cookies sans consentement : des traceurs publicitaires déposés dès l’arrivée sur le site, sans choix préalable. 

• Bandeaux trompeurs : deux interfaces incomplètes, aucune info claire sur la finalité publicitaire. 

• Refus inefficace : même après avoir cliqué sur “Tout refuser”, des traceurs continuaient à être déposés et lus. 

• Infos insuffisantes : absence d’identification des tiers susceptibles de déposer des cookies. 

🔗 Source : CNIL  

Les cyberattaques du mois  

Aéroports européens (Berlin, Bruxelles, Londres-Heathrow, Dublin)

Une cyberattaque par ransomware a frappé le logiciel MUSE de Collins Aerospace (gestion check-in et bagages), provoquant des annulations massives et retards (jusqu’à 88 % de vols retardés à Bruxelles, 77 % à Londres). L’Enisa confirme l’origine de l’attaque, toujours sous enquête. D’après un rappport de Thales, le secteur aéronautique est particulièrement ciblé, avec une hausse de 600 % des attaques de ransomware sur 15 mois.

Source : Sudouest

Stellantis (Amérique du Nord)

Accès non autorisé via un prestataire externe lié au service client. Le constructeur affirme que seules les coordonnées de contact de clients sont touchées (pas de données sensibles). Mais selon BleepingComputer, l’attaque, attribuée au groupe ShinyHunters, serait liée à une campagne massive visant Salesforce (via des jetons OAuth compromis). Les hackers revendiquent jusqu’à 18 millions d’enregistrements clients volés pour Stellantis, et 1,5 milliard d’enregistrements sur 700 entreprises au total. Le FBI a émis une alerte à ce sujet.

Source : 01net.com

Clarins (France)

Le groupe de cosmétiques de luxe a subi un accès illicite à des fichiers contenant les données de contact de ses clients (noms, emails, numéros de téléphone, adresses). Pas de données financières ni de mots de passe exposés. L’incident a été rapidement maîtrisé, mais selon La Tribune, plusieurs centaines de milliers de clients pourraient être concernés. L’attaque a été revendiquée par le groupe Everest Ransomware, qui menace de publier d’autres données.

Source : La Tribune

Kering (France)

Le groupe de luxe a confirmé une cyberattaque en juin ayant exposé les données de clients de ses marques Balenciaga, Gucci, Alexander McQueen. Les pirates ShinyHunters revendiquent le vol de 7,4 millions d’adresses e-mail, accompagnées de données sensibles comme les noms, adresses, numéros de téléphone et montants dépensés en boutique. Kering assure qu’aucune donnée financière n’a été compromise. Le groupe a alerté les autorités et ses clients. La BBC, qui a eu accès à un échantillon, a confirmé l’authenticité des informations divulguées.

Source : Libération

Poitiers (France)

Depuis le 29 août 2025, la ville de Poitiers, le Grand Poitiers (40 communes) et le CCAS subissent les conséquences d’une cyberattaque. Plusieurs services en ligne sont encore indisponibles (urbanisme, médiathèques), même si ceux liés aux passeports, cartes d’identité et état civil ont été rétablis. Les réseaux ont été isolés pour contenir l’incident, et une enquête est en cours. La collectivité recommande de reporter les démarches ou de les effectuer sur place. Cet épisode illustre la vulnérabilité persistante des collectivités, déjà fortement ciblées (14 % des incidents traités par l’Anssi en 2024).

Source : Ouest-France

Hôpitaux public français

Les Agences régionales de santé (ARS) de Normandie et des Hauts-de-France ont confirmé que plusieurs hôpitaux publics avaient été victimes d’une cyberattaque début septembre. Les pirates ont réussi à accéder aux serveurs contenant des données administratives de patients (nom, prénom, âge, coordonnées). 

Bonne nouvelle : les dossiers médicaux n’ont pas été compromis. 
Mauvaise nouvelle : ces informations pourraient être exploitées pour mener des campagnes de phishing ciblées. 

L’intrusion s’est faite via l’usurpation de l’identité d’un professionnel de santé, permettant aux attaquants de pénétrer les systèmes. Les comptes compromis ont depuis été neutralisés et des mesures de sécurité supplémentaires déployées. 

Le fonctionnement des hôpitaux n’a pas été impacté. Les ARS ont déposé plainte et informé la CNIL, tout en lançant une campagne de sensibilisation auprès des soignants pour redoubler de vigilance face à ce type d’attaques.

Source : Les Echos  

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin octobre avec un nouveau récap’ !