Cybersécurité & RGPD : Les actus à ne pas manquer de mai 2025 

Le mois de mai est derrière nous. Et, avec lui, son lot de jours fériés. On espère que vous en avez bien profité.

Comme chaque mois, on a épluché pour vous toute l’actu RGPD & Cyber pour en extraire l’essentiel. Le but ? Vous faire gagner du temps, sans rien louper de ce qu’il fallait retenir.

Allez, on fait le point ? C’est parti.

WhatsApp piraté : Meta fait payer NSO Group 

C’est une claque historique pour NSO Group. Le créateur du tristement célèbre logiciel espion Pegasus a été condamné début mai à verser 167 millions de dollars à Meta. En cause ?  

L’exploitation d’une faille dans WhatsApp en 2018 et 2019, utilisée pour espionner quelque 1 400 téléphones via de simples appels audio — sans même que les utilisateurs aient besoin de décrocher. 

Mais, espionner qui et pourquoi ?  

Pegasus est un logiciel espion ultra-sophistiqué, vendu à des gouvernements et services de renseignement dans le monde entier. Il permet d’infiltrer un téléphone à distance, d’en extraire photos, messages, contacts, et même d’activer le micro ou la caméra. Officiellement, il sert à lutter contre le terrorisme. En pratique, il a aussi été utilisé pour cibler journalistes, militants des droits humains, et opposants politiques — comme l’a révélé l’enquête journalistique Pegasus Project. 

Meta avait porté plainte en 2019, accusant NSO d’avoir enfreint les lois américaines contre le piratage informatique et les conditions d’utilisation de WhatsApp. La culpabilité de NSO avait été reconnue en décembre dernier ; le montant de l’amende vient, lui, d’être fixé. 

Meta salue une victoire « historique » contre les logiciels espions illégaux. NSO Group, de son côté, envisage de faire appel. 

🔗  Source : Le Monde  

L'Europe lance sa base de données sur les failles de sécurité 

Bonne nouvelle pour la souveraineté cyber de l’Union européenne : l’EUVD (European Vulnerability Database) vient d’être mise en ligne. Pilotée par l’Agence européenne pour la cybersécurité (ENISA), cette base vise à recenser toutes les failles connues touchant les produits et services numériques utilisés en Europe. 

L’objectif ? Offrir aux entreprises et aux institutions une vision claire, centralisée et fiable des vulnérabilités — avec, en bonus, des pistes de remédiation pour passer à l’action. 

Jusqu’ici, les pros de la sécurité s’appuyaient surtout sur la base CVE, maintenue… par une organisation américaine. Avec l’EUVD, l’Europe renforce son autonomie, en conformité avec la directive NIS 2. 

L’outil n’est qu’à ses débuts, mais il sera amélioré tout au long de 2025 avec les retours des utilisateurs. Et ce n’est qu’un début : à partir de 2026, le Cyber Resilience Act obligera les fabricants à déclarer les vulnérabilités activement exploitées via une plateforme dédiée."  

L’Europe muscle son jeu. Et ça, c’est plutôt rassurant. 

🔗 Source : L’Usine Digitale 

Europol frappe fort et démonte l’infrastructure de plusieurs malwares majeurs 

Une opération coup de poing pour l’Europe cyber. 
Entre le 19 et le 22 mai, Europol et Eurojust ont piloté un vaste démantèlement de réseaux cybercriminels dans le cadre de l’opération Endgame 2.0.  

Voici le bilan : 

• 300 serveurs mis hors service, 

• 650 noms de domaine neutralisés, 

• 3,5 millions d’euros en cryptos saisis, 

• et 20 mandats d’arrêt internationaux émis — principalement contre des ressortissants russes. 

Ce coup de filet cible l’un des maillons essentiels des attaques par ransomware : les malwares d’accès initial, ces logiciels qui infiltrent discrètement les systèmes avant de déclencher les rançongiciels. En tapant à la source, les forces de l’ordre ont voulu désorganiser toute la chaîne d’attaque. 

Sept pays, dont la France, ont participé à l’opération. Côté tricolore, on retrouve notamment la Gendarmerie nationale et la Juridiction nationale contre la criminalité organisée (Junalco). 

Et ce n’est pas tout. Dans la foulée, Europol a aussi collaboré avec Microsoft pour neutraliser Lumma Stealer, l’un des principaux logiciels de vol d’identifiants circulant sur les dark markets depuis 2022. Ce dernier permettait notamment de siphonner les mots de passe enregistrés dans les navigateurs ou gestionnaires, avec près de 400 000 machines infectées en Europe rien qu’entre mars et mai. 

🔗 Source : Le Monde Informatique  

Données génétiques : Regeneron rachète 23andMe… et ses 15 millions de profils ADN 

La biotech américaine Regeneron vient d’annoncer le rachat de la quasi-totalité des actifs de 23andMe pour 256 millions de dollars.  

Mais qui est-ce 23andMe ?  

Pionnière des tests ADN à usage personnel, cette entreprise permettait d’explorer ses origines, ses traits génétiques ou ses risques de santé via un simple kit salivaire envoyé par la poste. Malgré une base de 15 millions de clients, l’entreprise n’a jamais réussi à fidéliser ses utilisateurs. Fragilisée par un modèle économique bancal et une fuite de données massive fin 2023 (7M de victimes), elle avait déposé le bilan en mars dernier.  

Topo fait. Reste une question brûlante : que va-t-il advenir de ces données génétiques ultra-sensibles ? 

Plusieurs voix se sont élevées aux États-Unis : la Federal Trade Commission (FTC) et le procureur de Californie ont alerté sur le risque que ces informations soient revendues à d’autres acteurs ou exploitées sans consentement éclairé. 

Regeneron, de son côté, s’engage à respecter les politiques de confidentialité en vigueur… mais précise qu’avec l’accord du client, les données pourront être utilisées à des fins de recherche.  

Un médiateur judiciaire doit évaluer ces engagements et rendre son rapport le 10 juin. 

🔗 Source : Les Echos  

Caméras aux caisses automatiques : la CNIL appelle à la vigilance 

Flouter les visages ne suffit pas.  

C’est le message clair envoyé par la CNIL aux enseignes qui déploient des caisses automatiques équipées de caméras intelligentes pour détecter les fraudes. 

Derrière ces dispositifs dernier cri se cache une réalité bien réglementée : même floutées, les personnes peuvent être identifiables — que ce soit par le système lui-même ou via une intervention humaine. Résultat : ces images relèvent du RGPD, avec toutes les obligations que cela implique. 

• Une base légale ? Oui. L’intérêt légitime peut être invoqué… mais à condition que le dispositif reste proportionné. 

• Des alternatives ? Oui encore. La CNIL recommande d’envisager des solutions moins intrusives : pesée, RFID, contrôle aléatoire… 

• Des garde-fous ? Indispensables. Zone de captation limitée, durée restreinte, pas de conservation inutile, pas de fichage. 

Et surtout : on ne se lance pas tête baissée. Une phase d’expérimentation est vivement conseillée, pour évaluer à la fois les performances, les risques juridiques et les impacts sociétaux. Les équipes juridiques, métiers et IT doivent être à la manœuvre, main dans la main. 

En cas de manquement, l’addition peut vite grimper : jusqu’à 4 % du chiffre d’affaires annuel mondial. 

🔗 Source : CNIL  

Un mois noir pour les géants du social  

Le mois de mai n’a pas été tendre avec les géants des réseaux sociaux. Entre sanctions, mises en demeure et décisions de justice, TikTok et Meta se sont retrouvés dans la ligne de mire des régulateurs européens. 

Meta : le “consent or pay” retoqué par la CJUE 

Le fameux modèle de Meta, qui proposait aux utilisateurs européens un abonnement payant pour éviter les publicités personnalisées (“Consent or Pay”), vient d’être sévèrement recadré par la Cour de justice de l’Union européenne. La CJUE a rappelé qu’aucun modèle économique ne permet de contourner le droit fondamental à la protection des données. Autrement dit : le consentement doit rester libre, éclairé… et gratuit. 

Un avertissement qui pourrait faire jurisprudence bien au-delà du cas de Meta. 

TikTok : 530 millions d’euros d’amende pour transferts illégaux vers la Chine 

Du côté de TikTok, la note est salée. Le réseau social a écopé d’une amende de 530 millions d’euros pour avoir transféré illégalement des données personnelles d’utilisateurs européens vers la Chine, en toute opacité. Cette décision historique rappelle à quel point le sujet des transferts internationaux reste un point de tension majeur pour les plateformes non-européennes. 

Bruxelles attaque (encore) 

Comme si cela ne suffisait pas, TikTok est également dans le viseur de la Commission européenne pour manque de transparence dans la gestion des publicités diffusées sur sa plateforme. Bruxelles estime que TikTok ne permet pas de comprendre clairement qui est à l’origine d’un contenu sponsorisé — une obligation pourtant fixée par le Digital Services Act (DSA). 

🔗 Sources : L’Usine Digitale, Les Echos, Stratégies 

Les cyberattaques du mois  

Le mois de mai a été particulièrement chargé aussi côté cybermenaces.Voici celles à retenir :  

• Le département des Hauts-de-Seine a été paralysé par une attaque d’ampleur : services inaccessibles, infrastructures internes à l’arrêt, et reprise lente en cours. Une plainte a été déposée. 

• Marks & Spencer, le géant britannique du retail, a révélé avoir subi une cyberattaque entraînant plus de 350 millions d’euros de pertes. Les perturbations ont affecté les paiements, le click & collect et les retours en magasin. 

• Dior a confirmé avoir été victime d’un piratage ciblant ses clients. Des données personnelles (coordonnées, historiques d’achat) ont été dérobées. La maison de luxe s’est engagée à notifier toutes les personnes concernées. 

• Coinbase, la célèbre plateforme crypto, a reconnu un piratage à hauteur de 400 millions de dollars. Le vecteur : une faille dans un module open source tiers. L’enquête est toujours en cours. 

• Enfin, le groupe de hackers russes "Fancy Bear" refait parler de lui. Selon une enquête, il aurait mené, ces quatre dernières années, une dizaine d’opérations d’espionnage contre des entités françaises sensibles (aéronautique, défense, énergie…). 

Le CASD rafle la première étoile RGPD 

Cocorico pour la tech française : le Centre d’accès sécurisé aux données (CASD) devient le tout premier hébergeur européen à décrocher une certification RGPD officielle. Une consécration décernée lors du Privacy Symposium de Venise, qui pourrait bien redéfinir les standards de conformité à l’échelle continentale. 

Derrière cette certification Europrivacy (basée sur l’article 42 du RGPD), c’est des années d’expertise dans la gestion de données ultra-sensibles qui sont reconnues : santé, fiscalité, justice, environnement, réseaux sociaux… autant de secteurs où la sécurité ne pardonne pas. 

Le CASD, ce n’est pas n’importe qui : 

• +700 projets de recherche hébergés 

• 550 sources de données 

• Des partenaires comme l’INSEE, la DGFiP ou la Banque de France 

• Une technologie maison, la SD-BOX, qui permet d’accéder aux données dans un environnement ultra-sécurisé 

Déjà certifié ISO 27001, ISO 27701 et Hébergeur de Données de Santé (HDS), le CASD ajoute ici une brique RGPD officielle, reconnue dans 30 pays. Une première… et peut-être bientôt un nouveau standard pour l’hébergement souverain de données sensibles. 

🔗 Source : Clubic 

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin juin avec un nouveau récap’ !