Le Blog IT
Algorithmes et services publics : la Défenseure des droits alerte sur les risques pour les citoyens
Le 13 novembre 2024, la Défenseure des droits a publié un rapport alarmant sur l’utilisation croissante d’algorithmes au sein des services publics français. Ce document attire l’attention sur les dérives potentielles que pourrait engendrer l’automatisation des décisions administratives. Dans un contexte où les administrations se numérisent à grande vitesse, la question de la protection des droits fondamentaux face aux technologies d’intelligence artificielle devient importante.
Orange, a récemment été victime d’une cyberattaque ciblant sa filiale roumaine. Cette intrusion, confirmé par Orange le 24 février 2025, met en lumière la vulnérabilité persistante des systèmes d’information, même parmi les groupes les plus structurés, et rappelle l’importance d’un encadrement juridique renforcé en matière de cybersécurité.
La protection des données personnelles est au cœur des préoccupations des régulateurs et des citoyens. Récemment, la SNCF s’est retrouvée sous le feu des projecteurs en raison de sa pratique de collecte systématique de la civilité (Madame, Monsieur, âges etc.) de ses clients via son service en ligne SNCF Connect. Une affaire qui a conduit la Cour de justice de l’Union européenne (CJUE) à trancher sur la conformité de cette pratique au regard du RGPD.
Surveillance des salariés : jusqu’où un employeur peut-il aller sans violer le RGPD ?
Le contrôle des salariés par leur employeur est un sujet sensible encadré par des règles strictes en matière de protection des données personnelles. Si un employeur peut mettre en place des dispositifs de surveillance, il doit impérativement respecter les principes du Règlement général sur la protection des données (RGPD), notamment en matière de proportionnalité, d’information et de sécurité des données. Une récente décision de la CNIL illustre les limites à ne pas franchir.
App store et Digital Service Act : Apple impose un statut de commerçant aux développeurs en Europe
Depuis le 17 février 2025, Apple a commencé à retirer de l'App Store européen les applications dont les développeurs n'ont pas déclaré un statut de commerçant. Cette décision, bien qu'anticipée, s'inscrit dans une politique de conformité au Digital Services Act (DSA). Dès le 16 octobre 2024, Apple avait averti les développeurs que cette exigence serait appliquée, leur laissant plusieurs mois pour se mettre en conformité. Désormais, tout développeur souhaitant distribuer une application sur l’App Store doit fournir un statut de commerçant et des informations de contact vérifiables. Bien que cette mesure soit en accord avec les exigences du DSA, elle suscite des interrogations.
Dans un monde de plus en plus interconnecté, la cybercriminalité constitue un défi majeur pour les États. Attaques par ransomware, fraudes en ligne, exploitation sexuelle des mineurs : les crimes numériques se multiplient et nécessitent une réponse internationale. C’est dans ce contexte que l’ONU a adopté la première convention mondiale dédiée à la lutte contre la cybercriminalité. Ce texte vise à harmoniser les législations et à renforcer la coopération entre les pays, mais il soulève également des préoccupations en matière de protection des droits fondamentaux.
En janvier 2025, l'Union européenne a imposé des sanctions contre trois agents du renseignement russe pour leur implication dans des cyberattaques visant l’Estonie en 2020. Ces individus, membres de l’unité 29155 du GRU (Direction principale du renseignement des forces armées russes), sont accusés d’avoir orchestré des opérations de cyberespionnage contre plusieurs ministères estoniens, compromettant ainsi la sécurité nationale du pays.
En 2023, les États membres ont signalé 309 incidents majeurs, un record parmi les infrastructures critiques. En 2024, les cyberattaques contre les établissements de santé ont continué de se multiplier, mettant en péril la sécurité des données médicales et le fonctionnement des hôpitaux. Face à cette menace croissante, l’Union Européenne a annoncé un plan ambitieux visant à renforcer la cybersécurité des infrastructures de santé.
Binance dans le viseur de la justice française : soupçon de blanchiment et exercice illégal
Récemment, la plateforme Binance, l’un des leaders mondiaux de l’échange de cryptomonnaies, a été placée sous le feu des projecteurs par la justice française. Soupçonnée d’avoir facilité des opérations de blanchiment aggravé et de fraude fiscale, Binance est accusée de ne pas avoir respecté ses obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme.
Carrefour dément toute fuite de données : entre rumeurs et réalité
En janvier 2025, des allégations concernant une prétendue fuite de données chez Carrefour ont suscité l'inquiétude de nombreux clients. Un internaute, se faisant appeler "LaFouine", a affirmé avoir mis en vente sur le forum BreachForums une base de données contenant des informations personnelles de 13 millions de clients de l'enseigne. Face à ces accusations, Carrefour a rapidement réagi en menant des investigations approfondies et en démentant toute compromission de ses systèmes.
RGPD : la CNIL renforce sa lutte contre les bannières cookies trompeuses
La Commission nationale de l'informatique et des libertés (CNIL) a récemment intensifié ses actions contre les éditeurs de sites web qui utilisent des bannières de gestion des cookies jugées trompeuses. En réaction à plusieurs plaintes d’internautes, la CNIL a mis en demeure plusieurs sites de modifier leurs pratiques, estimant qu’elles ne garantissent pas un consentement valide des utilisateurs.
Le 8 janvier 2025, le Tribunal de l’Union Européenne (TUE) a rendu une décision marquante dans l’affaire T-345/22 (Bindl / Commission), condamnant la Commission Européenne pour un transfert non autorisé de données personnelles vers les Etats-Unis. En cause : l’utilisation du module « Se connecter avec Facebook », qui a conduit à la transmission de l’adresse IP d’un citoyen européen à des entreprises américaines telles que Meta Platforms ou Amazon Web Services. Une décision qui souligne les risques liés aux outils d’authentification tiers et les obligations strictes du RGPD.
Dans une décision en date du 04 octobre 2024 (C-621/22), la Cour de justice de l’Union européenne (CJUE) a apporté une clarification majeure sur l’interprétation de l’article 6 du Règlement Général sur la Protection des Données (RGPD). Elle a jugé qu’un intérêt commercial pouvait être reconnu comme un intérêt légitime pour justifier le traitement de données personnelles, sous réserve de conditions strictes.
Promotions en ligne : les nouvelles règles de la DGCCRF pour les produits de grande consommation
Depuis le 1er mars 2024, le cadre réglementaire des promotions sur les produits de grande consommation a été profondément modifié. Jusque-là limité aux produits alimentaires, l’encadrement des promotions s’étend désormais à l’ensemble des produits de grande consommation, impactant ainsi les stratégies commerciales des entreprises, notamment dans le secteur du e-commerce. Cette réforme, issue de la loi Descrozaille / Egalim 3 du 30 mars 2023, vient compléter et modifier les dispositions de la loi Asap du 7 décembre 2020. Dans ce contexte, la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) veille à l’application stricte de ces nouvelles obligations, afin de garantir une concurrence loyale et une meilleure information des consommateurs.
Cybersécurité : la Banque de France reconnaît une intrusion mais dément une fuite de données
Le week-end du 23 et 24 novembre 2024, un cybercriminel a affirmé avoir piraté la Banque de France et être en possession de données sensibles concernant ses clients et ses salariés. En réponse à ces déclarations, l'institution a précisé qu'aucune "attaque sur le système d'information sécurisé" n'avait été constatée, tout en reconnaissant une intrusion sur son extranet.
Transfert de données hors UE : nouvelles lignes directrices du CEPD
Le Comité Européen de la Protection des Données (CEPD) a adopté, le 3 décembre 2024, de nouvelles lignes directrices visant à encadrer les transferts de données personnelles en dehors de l’Union Européenne (UE). Ces orientations, qui s'inscrivent dans le prolongement du RGPD, rappellent les exigences strictes auxquelles doivent se conformer les entreprises pour garantir une protection équivalente des données, même en dehors du territoire européen.
IA et protection des données : les dernières recommandations du CEPD
Le Comité Européen de la Protection des Données (CEPD) a publié son avis 28/2024 portant sur le traitement des données personnelles dans le cadre du développement et du déploiement de modèles d’intelligence artificielle (IA). Cet avis souligne l’importance de la conformité au Règlement Général sur la Protection des Données (RGPD) et s’articule autour de trois axes principaux : l’anonymat des modèles d’IA, l’utilisation de l’intérêt légitime comme base juridique, et les conséquences de l’entraînement illicite des modèles sur des données personnelles.
Intégration de l’IA dans la justice Française : enjeux éthiques et respect des données personnelles
L’intelligence artificielle (IA) s’intègre progressivement dans de nombreux domaines, et la justice française n’y fait pas exception. Cette évolution, porteuse d’opportunités, suscite également des interrogations majeures, notamment sur les plans éthique et juridique.
Le 18 novembre 2024, dans la décision n°472912, le Conseil d’État a imposé un retour à l’intervention humaine dans les processus décisionnels automatisés, soulignant ainsi l’importance du respect des principes fondamentaux du Règlement Général sur la Protection des Données (RGPD) et de la Loi Informatique et Libertés. Ce jugement rappelle que, même dans le cadre de la numérisation des services publics, les droits des citoyens doivent être protégés par des mécanismes de contrôle humain.
Le Cyber Resilience Act : vers une Cybersécurité renforcée pour les produits connectés
La cybersécurité des produits connectés est aujourd’hui une priorité impérative pour l’Union européenne. Adopté le 20 novembre 2024, le Cyber Resilience Act marque une étape décisive en imposant pour la première fois des exigences minimales de sécurité pour tous les produits connectés vendus dans l’UE. Ce règlement, qui complète des cadres législatifs comme la directive NIS 2 (Network and Information Security), la directive REC (Résilience des entités critiques) et le règlement DORA (Digital Operational Resilience Act), vise à créer un environnement numérique plus sécurisé et harmonisé.