Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les actualités RGPD du mois d'avril 2026

A la Une13/04/2026
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois d'avril 2026 : altruisme des données, captation sonore, transparence RGPD, sanctions de la CNIL et cyberattaques sont au cœur de l’actualité.

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois d'avril 2026 :

  1. Tout comprendre sur l’altruisme des données : le nouveau cadre européen décrypté
  2. Vidéoprotection et Son : ce que dit la CNIL sur la captation sonore
  3. RGPD : la transparence sous le feu des projecteurs en 2026
  4. Retour sur les sanctions CNIL
  5. Retour sur les dernières cyberattaques

1. Tout comprendre sur l’altruisme des données : le nouveau cadre européen décrypté

Le règlement européen Data Governance Act (DGA) est un pilier de la stratégie numérique de l’Union européenne. Entré en application le 24 septembre 2023, il ne remplace pas le RGPD mais vient le compléter pour organiser la circulation des données non personnelles et sécuriser celle des données personnelles. 

Un nouveau statut, celui d’organisation altruiste en matière de données (OAD) a été créé par ce règlement et est désormais reconnu dans l’UE. 

L'altruisme des données permet aux individus et aux entreprises de donner leur consentement (ou une autorisation pour les données non personnelles) afin que leurs données soient utilisées à des fins d'intérêt général.

Ici, il n’y a aucune transaction commerciale et les finalités sont nobles : 

  • Faire avancer la recherche médicale (ex: partage de données de santé pour guérir des maladies rares) ; 
  • Lutter contre le changement climatique ; 
  • Améliorer la mobilité urbaine ou les services publics. 

Pour éviter les dérives et garantir que les données ne soient pas revendues en cachette, le DGA a créé un label de confiance : l’Organisation Altruiste des Données reconnue dans l’Union.

Quelles sont les conditions pour obtenir ce statut ?

  • But non lucratif : L'entité doit être une personne morale à but non lucratif (association, fondation, etc.).
  • Indépendance stricte : Elle doit exercer ses activités d'altruisme de manière indépendante de toute entité à but lucratif.
  • Transparence totale : Elle doit tenir des registres précis sur l'utilisation des données et publier un rapport annuel d'activité.
  • Sécurité : Elle doit garantir un niveau de protection technique et organisationnel élevé.

Depuis le 24 septembre 2023, la CNIL a été désignée comme l'autorité compétente en France pour gérer ce dispositif. Ses missions sont triples :

  1. L'enregistrement : Elle examine les dossiers des organisations qui souhaitent devenir des OAD et les inscrit sur un registre national.
  2. La surveillance : Elle contrôle que ces organisations respectent leurs obligations sur le long terme.
  3. La sanction : En cas de manquement, elle peut retirer l'organisation du registre ou prononcer des amendes.

C'est un point crucial : l'altruisme des données ne dispense pas du respect du RGPD.

  • Le consentement doit rester libre, spécifique, éclairé et univoque.
  • Les citoyens conservent leur droit de retirer leur consentement à tout moment.
  • Le DGA apporte simplement des outils supplémentaires (comme des formulaires de consentement européens types) pour faciliter le partage sécurisé à grande échelle.

Source : CNIL 

Découvrir notre accompagnement en RGPD

Je découvre

2. Vidéoprotection et Son : ce que dit la CNIL sur la captation sonore

Si la présence de caméras dans l’espace public ou en entreprise est devenue courante, l’ajout de microphones pour enregistrer les conversations est une pratique beaucoup plus encadrée, voire interdite dans la majorité des cas. 

La CNIL a publié un rappel indiquant que l’enregistrement sonore permanent dans les lieux publics ou les commerces est, en principe, interdit

En effet, la captation du son est jugée beaucoup plus intrusive que l'image. Elle permet de saisir des conversations privées, des confidences ou des opinions, ce qui porte une atteinte disproportionnée à la vie privée des passants, des clients ou des salariés.

En revanche, il existe des situations très spécifiques où le son peut être capté, mais sous des conditions strictes de “proportionnalité” : 

  • L'alerte en cas d'incident (Smart Audio) : Certains systèmes ne font qu'analyser les bruits (sans enregistrer les voix) pour détecter une anomalie : un bris de glace, un coup de feu ou un cri. Le système prévient alors les secours sans que l'opérateur n'écoute la conversation.
  • Les interphones : la communication bidirectionnelle est autorisée (ex: à l'entrée d'un immeuble ou d'un parking) car l'utilisateur sait qu'il parle dans un micro pour s'identifier.
  • Les interventions de sécurité (Caméras piétons) : les forces de l'ordre ou les agents de sécurité peuvent activer le son lors d'interventions précises, à condition d'en informer les personnes présentes.

Dans le milieu du travail, installer des micros pour surveiller la productivité ou le comportement des salariés est strictement illégal

La seule exception possible est lorsqu’il y a des contextes de sécurité très particuliers (ex : guichets de banque avec risques d’agression), mais avec une information très claire des employés et du public. 

Source : CNIL

3. RGPD : la transparence sous le feu des projecteurs en 2026

Le Comité Européen de la Protection des données (CEPD) vient de lancer sa nouvelle action coordonnée (CEF) pour l’année 2026. Le Comité va se focaliser sur le respect des obligations de transparence et d’information pour les entreprises et les administrations. 

En effet, la transparence est le pilier fondamental du RGPD. Il prévoit que les personnes concernées soient informées de l’existence et des conditions du traitement de leurs données (conformément aux articles 12,13 et 14 du Règlement). Pourtant 25 autorités de protection des données, dont la CNIL, constatent encore trop souvent que l’information des personnes (politique de confidentialité, mentions d’informations…) ne sont pas lisibles, incomplètes ou cachées. 

Dans le cadre du “Coordinated Enforcement Framework” (CEF), la CNIL et ses homologues européens vont mener des investigations poussées sur : 

  • La clarté de l’information : le langage utilisé est-il compréhensible par tous ? 
  • L’accessibilité : l’information est-elle facilement trouvable au moment de la collecte des données ? 
  • Le contenu obligatoire : les mentions exigées par les articles 13 et 14 du RGPD (identité du responsable, finalités, durée de conservation, droits des personnes, base légale, etc…) sont-elles toutes présentes ? 

Après avoir audité le droit d’accès en 2024 et le droit à l’effacement en 2025, cette action 2026 marquera une étape clé dans l’harmonisation des sanctions et des bonnes pratiques au niveau européen. Des contrôles (sur place ou sur pièces) seront organisés tout au long de l’année. 

Source : CNIL

Découvrir notre accompagnement en RGPD

Je découvre

4. Sanctions CNIL

Clôture de l’injonction prononcée à l’encontre de la société KASPR  

Par délibération du 4 mars 2026, la CNIL a clôturé l’injonction prononcée le 5 décembre 2024 à l’encontre de la société KASPR. 

La société KASPR (spécialisée dans la vente de données de contact B2B pour la prospection commerciale) avait été lourdement sanctionnée par la CNIL. L'autorité reprochait à l'entreprise de collecter des données sans informer les personnes concernées et de ne pas respecter leurs droits.

Aujourd'hui, le dossier est officiellement clos. La CNIL vient de lever l'injonction qui pesait sur la société. 

En décembre 2024, la formation restreinte de la CNIL avait prononcé à l’encontre de la société KASPR une amende de 240 000 euros, les contrôles réalisés ayant permis de constater que :

  • Atteinte à la vie privée : KASPR récupérait les coordonnées de profils LinkedIn qui avaient pourtant activé des options de visibilité restreinte.
  • Conservation excessive : Les données étaient gardées 5 ans après chaque mise à jour (comme un changement de poste), prolongeant indéfiniment le stockage.
  • Défaut d'information : Avant 2022, les personnes n'étaient pas averties de la collecte de leurs données. Après cette date, l'information n'était fournie qu'en anglais.
  • Opacité des sources : Lors d'une demande de droit d'accès, la société restait floue, se contentant d'évoquer des "sources publiques" sans précision.

La formation restreinte avait, en plus de l’amende, prononcé des injonctions afin de faire cesser ces manquements dans un délai de 6 mois. La société a dû revoir en profondeur son Système d'Information (SI) et ses processus juridiques :

  • Respect de la confidentialité : Arrêter de collecter les données des profils ayant restreint leur visibilité et supprimer les données déjà récupérées. À défaut, informer sous 3 mois toutes les personnes concernées de leur droit d'opposition.
  • Fin du stockage permanent : Mettre un terme au renouvellement automatique de la conservation des données issues de LinkedIn.
  • Accessibilité de l'information : Informer les utilisateurs sur l'usage de leurs données dans une langue qu'ils comprennent réellement.
  • Transparence totale : Répondre aux demandes de droit d'accès en révélant précisément la source d'origine de chaque donnée collectée.

Le 21 mars 2026, la CNIL a constaté que KASPR avait respecté toutes ses demandes. La procédure est donc classée et l'entreprise peut continuer son activité, mais sous un cadre désormais strictement respectueux du RGPD.

Source : CNIL

5. Retour sur les dernières cyberattaques

Le ministère de l’Education nationale victime d’une intrusion informatique

Le ministère de l’Éducation nationale a récemment confirmé avoir été victime d’une intrusion informatique visant Compas, un logiciel utilisé pour la gestion des stagiaires des premier et second degrés. L’accès frauduleux aurait été réalisé le 15 mars 2026 à la suite de l’usurpation d’un compte externe. 

Cette attaque a entraîné une exfiltration de données massives concernant près de 243 000 agents, stagiaires ou titulaires.

  • Les données compromises : éléments d’identité,  des coordonnées (adresse et numéro de téléphone), des périodes d’absence (sans information de santé), ainsi que l’identité et les numéros de téléphone professionnels des tuteurs. 
  • Le risque majeur : bien que les coordonnées bancaires n'aient pas été compromises selon les premières analyses, ces informations sont une mine d'or pour des campagnes d'ingénierie sociale (phishing ciblé ou usurpation d'identité).

Dès la détection de l'intrusion, le ministère a pris plusieurs mesures d'urgence :

  • Déconnexion du logiciel : L'accès à l'outil Compas a été suspendu pour stopper l’exfiltration de données. Des vérifications sont en cours sur l’ensemble des systèmes d’information du ministère afin de prévenir tout risque de propagation. 
  • Dépôt de plainte : L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission nationale de l’information et des libertés (CNIL) ont été saisies. Une enquête est en cours pour identifier l'origine de l'attaque.
  • Signalement à la CNIL : Conformément au RGPD, la violation de données a été déclarée dans les 72 heures.

Source : Ministère de l’Education nationale

Cegedim Santé face à une intrusion informatique

Cegedim Santé, filiale du Groupe Cegedim dédiée à l’édition de logiciels pour les professionnels de santé, a identifié fin 2025, un comportement anormal de requêtes applicatives sur des comptes médecins utilisateurs du logiciel MLM (MonLogicielMedical.com).

Alors que les pirates multiplient les offensives contre les infrastructures critiques, cette intrusion soulève des inquiétudes majeures sur la sécurité des données médicales en France.

Le logiciel MLM est utilisé par 3800 médecins en France et 1500 sont concernés par cette attaque. 

La filiale a procédé à l’ensemble des démarches réglementaires : notification auprès de la CNIL et dépôt de plainte auprès du procureur de la République

Les données compromises proviennent exclusivement du dossier administratif du patient : 

  • 15,8 millions de dossiers administratifs : nom, prénom, sexee, date de naissance, téléphone, email et pour partie adresse postale. 
  • 165 000 dossiers comportaient une annotation personnelle du médecin relative à une information sensible (liée ou non à la santé) au sein du commentaire administratif en texte libre. 

Cegedim Santé assure que les bases de données de santé (ordonnances, diagnostics) sont restées chiffrées et n'ont pas été compromises.

L'ANSSI (Agence nationale de la sécurité des systèmes d'information) a été informée pour accompagner l'éditeur dans la sécurisation de ses accès. L’incident est aujourd’hui circonscrit. 

Cegedim Santé possède la certification HDS (Hébergeur de Données de Santé). Cette attaque démontre que même avec les certifications les plus strictes, le risque zéro n'existe pas.

Source : Communiqués de presse Cegedim et Cegedim Santé 

Cyberattaques : une hausse de 20% en un an et des millions de français exposés

La menace numérique s'intensifie sur le territoire national. Selon le bilan présenté le 26 mars 2026, la plateforme cybermalveillance.gouv.fr a franchi le cap des 5 millions de visiteurs, tout en traitant plus de 504 000 demandes d'aide en 2025 (soit une progression de 20 %).

Cette explosion de l'activité témoigne d'une vulnérabilité généralisée face aux fuites de données, touchant indistinctement le secteur public, la santé et le privé.

En effet, certaines typologies d’attaques enregistrent des hausses vertigineuses : 

  • une augmentation de 173% pour la fraude au virement ; 
  • une augmentation de 107% pour les violations de données ; 
  • une augmentation de 70% pour l’hameçonnage. 

Dans le détail, voici un panorama des menaces par cible : 

  • Pour les particuliers : l’hameçonnage domine largement et représente 32,9% des demandes, le piratage de compte est en seconde place avec 11,6% et les violations de données sont à 8%. 
  • Pour les entreprises : le piratage de compte est en première place avec 21%, suivi par l’hameçonnage qui est de 16% et la fraude au virement qui est de 13,5%. 
  • Pour les collectivités : le piratage de compte est aussi en première place à 20,1%, l’hameçonnage est à 19,2% et les rançongiciels sont à 13,1%. 

L’explosion des signalements masque une réalité préoccupante : 80% des entreprises avouent manquer d’outils face aux cyberattaques, et 60% d’entre elles sont incapables d’en anticiper l’impact. 

Le constat est encore plus sévère pour les collectivités, dont seules 14% se disent prêtes. 

Ce fossé entre la menace réelle et les moyens de défense opérationnels demeure une vulnérabilité majeure. La stratégie repose aujourd’hui largement sur la sensibilisation. 

En effet, la majorité des cyberattaques exploitent des failles humaines et organisationnelles. 

Se sensibiliser aux enjeux de la cybersécurité c’est : 

  • Anticiper la fraude : identifier les signaux d’une tentative d’escroquerie au virement ou d’une usurpation d’identité ; 
  • Adopter une hygiène numérique rigoureuse : généraliser l’usage de la double authentification et la gestion stricte des accès ; 
  • Réagir avec agilité : savoir donner l’alerte instantanément pour limiter la propagation d’un incident et réduire son impact financier. 

Le déploiement progressif de dispositifs comme 17Cyber et l'alignement futur sur les exigences de la directive européenne NIS 2 marquent une volonté claire de structurer la réponse nationale. 

Toutefois, l'efficacité de ces mesures repose avant tout sur la capacité de chacun à instaurer  une véritable culture de la vigilance au quotidien.

Source : L’Usine Digitale

Notre accompagnement en cybersécurité

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées :

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site
Publication

Bonnes pratiques de la protection des données personnelles et stratégiques

Sur le même
thème