Cybersécurité & RGPD : Les actus à ne pas manquer de mars 2025 

Le mois de mars a filé à toute allure, et avec lui, son lot d’actualités RGPD et cybersécurité. Vous n’avez pas eu le temps de suivre tout ce qui s’est passé ? Aucun souci : on vous décode les infos qu’il ne fallait pas rater. Des réglementations en mouvement, des plaintes retentissantes, des cyberattaques marquantes… et une CNIL toujours très active. C'est parti ! 

TikTok, Reddit et Imgur dans le viseur de l’ICO britannique 

Eh oui, encore les réseaux sociaux. On dirait qu’ils aiment bien être sous le feu des projecteurs.  

Les plateformes TikTok, Reddit et Imgur sont dans le collimateur de la CNIL britannique (aka Information Commissioner's Office – ICO). 

Pourquoi ? Au cœur des inquiétudes du régulateur : les mineurs. L’ICO veut comprendre comment les algorithmes de ces plateformes utilisent les données des jeunes pour leur recommander du contenu. Est-ce qu’ils les exposent à des contenus inappropriés ? Est-ce que les protections mises en place sont suffisantes ? 

Ce sont les questions qui agitent l’autorité, et plus particulièrement son commissaire, John Edwards. Ce dernier s’inquiète de l’effet addictif de ces services, des contenus choquants auxquels sont exposés les mineurs, et du manque de garde-fous vraiment efficaces. 

🔗 Source : Sud Ouest 

Health Data Hub : vers une souveraineté des données de santé  

Lancé en 2019, la Plateforme de Données de Santé, mieux connue sous son anglicisme Health Data Hub (HDH), devait incarner la vitrine française d’une recherche médicale dopée aux données. 

Son objectif ? Faciliter le partage des données de santé issues de sources variées afin de soutenir la recherche médicale et l’innovation en santé publique. 

Mais six ans plus tard, le projet est surtout devenu un cas d’école de lenteur bureaucratique et de crispation politique. 

Pourquoi ? Trump n’y est pour rien cette fois, mais Microsoft Azure, oui. Le choix initial d’héberger les données de santé de millions de Français sur les serveurs du géant américain avait suscité des vives critiques.  En cause, le Cloud Act américain, qui autorise les autorités des États-Unis à accéder aux données hébergées chez des entreprises américaines — même à l’étranger.  

Sous pression croissante, le HDH a annoncé en mars 2025 une "solution intercalaire" pour entamer enfin sa sortie d’Azure.  

Voici à quoi ressemble le plan de sortie : 

• Cap sur le souverain : OVHcloud et Cloud Temple sont à l’étude. Deux candidats maison bien décidés à reprendre le flambeau. 

• France 2030 : le HDH mise aussi sur l’appel d’offres national pour bâtir un cloud RGPD + IA-friendly. 

• Mise à jour côté conformité : l’homologation a été ajustée (SNDS – mai 2024) et un guide santé est en cours avec le ministère (sortie prévue fin 2025). 

• En stand-by côté loi SREN : le décret d’application se fait attendre… S’il exige le fameux visa SecNumCloud, ça risque de réduire (encore) la marge de manœuvre. 

🔗 Sources : Alliancy | Clubic | Usine Digitale | Health Data Hub

Directive NIS 2 : la France passe à l’action 

Adoptée fin 2022, cette directive européenne vient remplacer NIS 1 (2016), jugée trop timide.  

Objectif : muscler la cybersécurité des infrastructures critiques dans toute l’UE. 

En mars, la transposition du texte a atterri sur la table du Sénat. Comme on dit : mieux vaut tard que jamais. 

Ce que ça change ? Beaucoup. En France, le nombre d'organisations concernées bondit de 300 à… 15 000 ! Hôpitaux, banques, collectivités, PME industrielles : tous devront se doter de plans solides en matière de cybersécurité — gouvernance, gestion de crise, évaluation des sous-traitants, etc. 

Problème : beaucoup d’acteurs n’ont ni les équipes, ni le budget pour suivre le rythme. Et certains commencent à sérieusement s’inquiéter des moyens nécessaires pour cocher toutes les cases. 

🔗 Source : Usine Digitale 

NOYB attaque OpenAI pour inexactitude des données 

L’ONG NOYB a lancé une nouvelle salve contre OpenAI. En cause : une hallucination de ChatGPT particulièrement grave. Le chatbot a attribué à tort des crimes odieux à un citoyen norvégien, mêlant des informations personnelles véridiques à une fiction diffamatoire. 

NOYB dénonce une violation de l’article 5(d) du RGPD, qui impose aux responsables de traitement de garantir l’exactitude des données. Un simple disclaimer ne suffit pas : diffuser de fausses informations personnelles reste interdit, même si on précise qu’il peut y avoir des erreurs. 

Ce cas emblématique relance le débat sur la responsabilité des IA génératives dans la gestion des données personnelles. Peut-on tolérer les risques d’hallucination, même encadrés ? 

🔗 Sources : Le Monde | Usine Digitale 

Cybersécurité : la "technique du fantôme" rejetée par l’Assemblée 

Rembobinons un instant. 

Contexte : le gouvernement a fait de la lutte contre le narcotrafic une priorité absolue. Dans ce cadre, un article glissé dans le projet de loi contre le trafic de drogues proposait une mesure controversée : permettre aux services de renseignement d’accéder aux messageries chiffrées (comme Signal ou WhatsApp) via la fameuse "technique du fantôme". 

Le principe ? Ajouter un utilisateur invisible (un "ghost user") dans une conversation chiffrée, sans que les participants ne le sachent dans le but de faciliter la surveillance des réseaux criminels. 

Problème : créer une telle backdoor fragilise automatiquement le chiffrement de bout en bout. Et même bien gardée, une porte dérobée finit (presque toujours) par fuir. 

Critiquée par la CNIL, des experts en sécurité, des éditeurs de messagerie et des défenseurs des droits numériques, la mesure a été rejetée à une large majorité, en rappelant qu'affaiblir la sécurité pour surveiller quelques-uns, c’est fragiliser tout le monde.  

🔗 Sources : Challenges | Usine Digitale 

Intersport victime d’une fuite massive de données

C’est une nouvelle attaque qui illustre la fragilité des systèmes d’information dans le secteur du retail.  

En mars, le géant de la distribution d’articles de sport Intersport a confirmé avoir été victime d’une cyberattaque entraînant la fuite des données personnelles de 3,3 millions de clients. 

Les informations exfiltrées – noms, adresses postales et emails – ont été mises en vente sur un forum spécialisé pour 1000 dollars en cryptomonnaie. L’attaque fait suite à une série noire : Kiabi, Chronopost, la Caisse des dépôts… Les violations de données se multiplient en ce début 2025. 

Intersport a rassuré ses clients sur la sécurité de leurs données bancaires, mais a appelé à la vigilance face aux tentatives de phishing. L’enseigne avait déjà été visée en 2022 et 2024.  

🔗 Sources : RTL | Usine Digitale 

CNIL : un programme 2025 dense et tourné vers l’accompagnement 

La CNIL n’a pas décidé d’être plus gentille, c’est vrai. Mais en 2025, elle mise plus que jamais sur la pédagogie et l’appui aux pros du RGPD. Plus aucune excuse pour ne pas être à jour. 

Voici les chantiers en cours : 

• Des fiches pratiques sur l’IA : intérêt légitime, annotation, sécurité, déploiement dans l’éducation, les collectivités… 

• Un référentiel sur les sous-traitants, pour faciliter leur évaluation RGPD. 

• Une mise à jour des référentiels santé. 

• Des recommandations sur le consentement multi-terminaux, les pixels dans les emails, et l’économie des seniors. 

À cela s’ajoutent des chantiers sur les dashcams et la prospection politique.  

L’objectif : clarifier les règles, lever les zones grises, et co-construire des solutions concrètes avec les filières concernées. 

🔗 Source : CNIL 

Cybersensibilisation des jeunes : l’opération CACTUS passe à l’échelle nationale 

La CNIL, aux côtés du ministère de l’Éducation et de Cybermalveillance.gouv.fr, a participé à une campagne inédite : l’opération CACTUS, une simulation d’hameçonnage à destination des élèves du secondaire. Du 19 au 21 mars, plus de 2,5 millions de collégiens et lycéens ont été exposés à un faux lien promettant des jeux ou cheats gratuits. 

Résultat ? Plus de 210 000 jeunes ont cliqué. Ils ont été redirigés vers un message de sensibilisation. Une manière concrète et marquante de faire passer les bons réflexes. Le dispositif est prolongé par des interventions en classe et un kit pédagogique distribué aux enseignants. 

Dans un contexte d’attaques croissantes contre les ENT et d’usage numérique intense chez les adolescents, l’initiative marque une étape importante dans la prévention des cyber-risques dès le plus jeune âge. 

🔗 Source : CNIL 

Et voilà, vous êtes à jour !

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin avril avec un nouveau récap’ !