Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois de mai 2025

A la Une27/05/2025
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois de mai 2025 : RGPD, cybersécurité ou encore vol de données au cœur des préoccupations !

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des informations récentes dédiées aux risques numériques ! RGPD, cybersécurité ou encore vol de données sont au cœur des préoccupations.

 

  1. Les recommandations CNIL sur les caméras augmentées
  2. Les derniers avis CEPD
  3. Le dossier patient informatisé pour le secteur de la santé
  4. Le conseil d’état saisit la cour de justice de l’union européenne pour un Média français
  5. Les dernières cyberattaques publiées

1. Les recommandations CNIL sur les caméras augmentées

Caméra de sécurité surveillance vidéo.
Caméra de sécurité surveillance vidéo.

Certaines enseignes ont déployé (ou souhaitent déployer) des caméras augmentées afin de détecter les erreurs ou tentatives de vol au niveau des caisses automatiques. Les caisses automatiques utilisant des caméras augmentées utilisent un logiciel afin d’analyser les images en temps réel. Les caméras sont placées au-dessus de la caisse automatique et filment l’espace de la caisse avec dans son champ de vision : le client, son panier d’achat, les produits à scanner, la zone de scan et la zone où sont placés les produits une fois scannés. Ce dispositif collecte ainsi des données personnelles. En effet, même si le visage du client est flouté, il est possible de l’identifier par l’intermédiaire d’un système vidéo existant.

Ce dispositif doit donc respecter les règles du RGPD. Les enseignes ont un intérêt légitime à limiter la perte de revenus causée par les erreurs ou les vols aux caisses automatiques. Cette base légale peut donc être utilisée. En revanche, il faut s’assurer que le dispositif mis en place soit nécessaire à l’objectif poursuivi et qu’il ne porte pas une atteinte disproportionnée aux droits des personnes.

La CNIL recommande de privilégier des solutions moins intrusives comme par exemple : la pesée des articles scannés, le contrôle aléatoire ou encore des tickets de sortie. Si l’enseigne décide malgré tout de mettre en place des caméras, il lui faudra documenter le fait que ces alternatives ne peuvent être mises en place ou qu’elles ne sont pas suffisantes au regard de l’objectif poursuivi.

La CNIL recommande, à titre de bonne pratique, de procéder à une expérimentation du dispositif envisagé en conditions réelles pour s’assurer de son efficacité, de sa légalité et de son impact limité pour les personnes avant toute mise en place. 

Découvrir notre accompagnement en RGPD

2. Les derniers avis CEPD : adéquation de l’OEB (Office Européen de Brevets)
et extension des décisions d’adéquation au Royaume Uni

""
""

En mai 2025, le Comité Européen de la Protection des Données (CEPD) a adopté deux avis :

  • Le projet de décision d’adéquation de la Commission européenne concernant l’Office européen de brevets (OEB)
  • La proposition de la Commission européenne d’étendre la validité des décisions d’adéquation du Royaume-Uni (adoptées à la suite du Brexit).

Une décision d’adéquation est une décision adoptée par la Commission européenne sur la base de l’article 45 du RGPD qui établit qu’un pays tiers (non lié par le RGPD) ou une organisation internationale assure un niveau de protection adéquat des données personnelles. La décision d’adéquation permet le transfert, sans exigences supplémentaires, de données personnelles depuis les organismes soumis au RGPD vers le pays tiers ou l’organisation internationale concernés. Dans son avis, le CEPD indique que le cadre de protection des données de l’OEB est aligné sur le cadre de protection des données de l’UE.

Le CEPD a aussi rendu un avis sur la proposition de la Commission européenne de prolonger de 6 mois les deux décisions d’adéquation du Royaume-Uni : l’une au titre du RGPD et l’autre au titre de la directive en matière de protection des données dans le domaine répressif.

La prolongation des décisions a été décidée jusqu’au 27 décembre 2025. Le CEPD reconnaît la nécessité de cette extension et souligne son caractère exceptionnel dû aux développements législatifs en cours au Royaume-Uni. Il a aussi rappelé l’obligation de la Commission européenne de suivre tous les développements pertinents au Royaume-Uni pendant la période de prolongation. 

Je souhaite être contacté(e)

3. Secteur de la santé : le projet de recommandation CNIL pour le Dossier Patient Informatisé (DPI)

La CNIL a tenu un webinaire le 1er avril 2025 concernant la présentation de son projet de recommandation relatif au dossier patient informatisé. En effet, la CNIL a été alertée à plusieurs reprises au sujet d’accès illégitimes aux données de patients contenues dans le Dossier Patient Informatisé (DPI). De plus, il y a eu une augmentation massive des notifications de violation de données : passant de 16 en 2018 à 196 en 2024.

Entre 2020 et 2024, la CNIL a contrôlé les DPI de 13 établissements de santé et des 7 logiciels les plus utilisés en France. Elle a mis en demeure plusieurs établissements afin de prendre les mesures permettant de préserver la sécurité ainsi que la confidentialité des données contenues au sein des DPI.

Dans le but de rappeler le cadre juridique applicable à l’accès au DPI et de diffuser les bonnes pratiques associées, la CNIL a rédigé un projet de recommandation, qui a été soumis à consultation publique entre le 20 mars et le 16 mai 2025.

Cette recommandation consolide l’ensemble des règles applicables au DPI. Elle est assortie de recommandations techniques et illustrées d’exemples concrets. Le guide est à destination des établissements de santé publics ou privés et plus particulièrement des DPO (Délégué à la Protection des Données), des responsables de systèmes d’information ainsi que des directions générales. Il s’organise en plusieurs fiches et notamment sur :

  • Les données composant le DPI et les mesures de sécurité : distinguer les bases existantes, par exemple les données administratives des patients et des proches, les données administratives des professionnels de santé et les données liées à la prise en charge.
  • Les mesures de sécurité générales liées à la conservation des données : chiffrement, sauvegardes régulières,...
  • Les durées de conservation du DPI : en mettant en place par exemple, des procédures d’archivages automatiques des données.
  • La sécurisation des échanges de données : cloisonnement et chiffrement des flux, sécurisation des interfaces.
  • L’information des personnes concernées : principe de transparence pour le responsable de traitement des données et bonnes pratiques à acquérir.
  • Les mesures de sécurité liées à l’information et l’exercice des droits : envoi sécurisé d’une note d’information, mise à disposition au patient de son dossier médical.
  • Le personnel de l’établissement de santé : notion d’équipe de soins et règles concernant le personnel susceptible d’avoir accès au DPI.
  • Les mesures de sécurité liées aux accédants : modalités d’authentification, gestion des habilitations, traçabilité des accès et actions sur le DPI.
  • Les sous-traitants, destinataires et tiers : qualifications et règles associées pour les différents acteurs participant à la mise en œuvre du DPI ou interagissant avec le DPI (équipe de soins hors établissement, tiers autorisés).
  • La maîtrise des relations avec les sous-traitants et les tiers : règles et points d’attention dans le recours à un sous-traitant, l’accès ou la transmission de données à des tiers, l’édition de solutions numériques.

Découvrir notre accompagnement en RGPD

4. Le conseil d’état saisit la cour de justice de l’union européenne pour un Média français
 

1- Quel est le contexte de l’affaire ?

Le 12 octobre 2023, la CNIL a sanctionné un grand média français pour manquements aux obligations issues du RGPD. La validité du consentement recueilli par des FAI (Fournisseurs d’Accès à Internet) partenaires du média pour opérer une prospection électronique a été remise en cause.

Le groupe a saisi le Conseil d’Etat pour contester cette décision et en demander l’annulation ou une réduction de l’amende et a sollicité une question préjudicielle devant la Cour de Justice de l’UE (CJUE).

2 - Quels sont les faits reprochés ?

Le groupe français a acquis les listes de prospects collectées par des FAI. Ces FAI recueillent un consentement générique des personnes concernées afin d’être contactées par les partenaires, alors que ces derniers n’ont pas été identifiés nommément lors de la collecte de données. Enfin, le groupe a réalisé des campagnes de prospection sans recueil de consentement auprès de 3,9 millions de personnes. 

La CNIL estime que le mode de recueil de consentement n’est pas libre, spécifique, éclairé et univoque, comme l’exige le RGPD. 

3 - Quelles sont les 2 questions posées à la CJUE par le Conseil d’Etat ?

  • Le paragraphe 11 de l’article 4 du RGPD, ainsi que les articles 13 et 14 : est-ce qu’un consentement fourni une seule fois à un FAI pour que ses partenaires utilisent les données est suffisant, ou chaque partenaire doit obtenir un consentement de la personne ?
  • Si on considère qu’un consentement donné à un FAI pour que ses partenaires opèrent de la publicité est valable, faut-il décrire l’ensemble des partenaires ou les nommer précisément ?

La CJUE doit trancher à cette question qui pourrait amener, en cas de réponse stricte, de nombreux acteurs à revoir leurs dispositifs de collecte de consentement notamment lors d’achat de bases de données ou en cas de partenariats commerciaux. 

Contactez-nous pour vous accompagner dans vos projets RGPD !

Picto newsletter FOCUS SUR LES DERNIERES CYBERATTAQUES PUBLIEES

Une grande Maison de luxe victime d’une cyberattaque avec fuite de données personnelles

Le 7 mai, une grande Maison française a subi une fuite de données personnelles et explique à ses clients qu’un “tiers non autorisé a accédé à certaines données clients”. Il s’agit de données personnelles telles que le nom et prénom des clients, leur genre, numéro de téléphone, adresse mail et postale, achats et toute autre donnée spécifique que le client a pu partager avec cette Maison. L’entreprise affirme qu’aucune information financière et bancaire n’est concernée par cette attaque

Les clients ont été informés de cette fuite de données et une attention particulière leur a été demandée vis-à-vis de toutes activités suspectes. Il leur a été conseillé de rester vigilant et de ne pas cliquer sur des liens ou d’ouvrir des pièces jointes pouvant être suspectes. En effet, les attaquants pourraient se faire passer pour le service client en détenant ce type d’information. 

Une plateforme de crypto-monnaie perd jusqu’à 400 millions de dollars 

Le 15 mai 2025, une plateforme d’échange de crypto-monnaies a subi une cyberattaque conduisant à une fuite de données personnelles. Il s’agissait d’une attaque d’ingénierie sociale par une compromission interne, permettant aux hackers de demander aux personnes de transmettre leurs fonds.

Les hackeurs ont corrompu des agents de l’organisation en leur proposant des paiements en espèces pour extraire des données clients détenus par l’entreprise en interne. Les informations telles que le nom, l’adresse, le téléphone, l'email, les 4 derniers chiffres du numéro de sécurité sociale, les historiques des transactions, des documents internes accessibles au support client ont été dérobées. Cependant, aucune clé privée, ni mot de passe, n’ont été compromis.

L’entreprise a déclaré à l’autorité fédérale américaine de réglementation et de contrôle des marchés financiers, que les coûts associés à l’incident sont estimés entre 180 et 400 millions de dollars. Une récompense sera versée par l’entreprise pour toute transmission d’informations permettant l’arrestation et la condamnation des criminels responsables de l’attaque.

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème