Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois de juillet 2025

A la Une31/07/2025

Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois de Juillet 2025 : dispositif de vidéosurveillance, double authentification, démarchage téléphonique et les dernières cyberattaques recensées sont au cœur de l’actualité. 

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de juin 2025 :

  1. La CNIL donne son avis sur l’utilisation des caméras augmentées dans les bureaux de tabac.
  2. Opération bancaire frauduleuse : contrôle de l’existence d’un appel lors de l’utilisation de l’application bancaire
  3. Fuite massive de données, parmi les plus graves de l’histoire du Royaume-Uni
  4. Retour sur les dernières cyber attaques
  5. Une nouvelle sanction de la CNIL

1. La CNIL donne son avis sur l’utilisation des caméras augmentées dans les bureaux de tabac.

Enseigne rouge et jaune avec les mots "TABAC" et "PRESSE" sur la façade d'un bâtiment, représentant un commerce de proximité.
Enseigne rouge et jaune avec les mots "TABAC" et "PRESSE" sur la façade d'un bâtiment, représentant un commerce de proximité.

Des dispositifs de caméras “augmentées” qui permettent d’établir l’âge des personnes sont utilisés dans certains bureaux de tabac avant toute vente de produits interdits aux mineurs. L'intelligence artificielle est utilisée dans ce dispositif qui scanne le visage de la personne.

La CNIL a analysé les enjeux de ce dispositif et a précisé que ce n’était pas conforme. 

Le visage analysé par les caméras correspond à un traitement de données personnelles et doit respecter les principes du RGPD pour être mis en œuvre. En effet, l’usage de ce dispositif doit être nécessaire et proportionné au regard de la finalité poursuivie. Les buralistes doivent vérifier si les clients sont majeurs avant la vente de tabac ou d’alcool. Toutefois, l’usage de ce dispositif ne permet pas de déterminer avec certitude l’âge du client.

De plus, selon la CNIL, le dispositif apparaît disproportionné : d'une part toutes les personnes sont filmées et notamment celles majeures et d'autre part les personnes ne peuvent pas s’opposer au traitement.


Découvrir notre accompagnement en RGPD

Je découvre

Source : La CNIL

2. Opération bancaire frauduleuse : contrôle de l’existence d’un appel lors de l’utilisation de l’application bancaire

Photo d'une personne cagoulée tenant un smartphone et une carte de crédit, symbolisant la fraude en ligne et la cybersécurité.
Photo d'une personne cagoulée tenant un smartphone et une carte de crédit, symbolisant la fraude en ligne et la cybersécurité.

Afin de lutter contre les fraudes par manipulations, certaines banques ont décidé de mettre en place des mesures. Tout d’abord des actions de sensibilisation mais pas que, également adopter un dispositif qui permet de détecter si une personne est en appel téléphonique au moment d’une opération bancaire (virement bancaire ou ajout d’un bénéficiaire).

L’objectif est de reconnaître lorsqu’une victime est potentiellement sous l’emprise d’un fraudeur, afin de déclencher une alerte ou interrompre l’opération immédiatement.

Pour se faire, les banques souhaitent pouvoir accéder aux informations liées aux appels téléphoniques de leurs clients et détecter si un appel est en cours lorsque le client utilise son application bancaire. La banque calcule ainsi un score de risque en temps réel. Si le score dépasse un seuil, la banque peut agir en affichant une alter ou bloquer l’opération pour alerter d’une fraude. Toutefois, aucun enregistrement des appels téléphoniques ne doit être réalisé, seulement une détection de l’appel.

  Il est important de préciser que le consentement de l’utilisateur doit être recueilli pour que la banque puisse accéder aux données stockées sur le terminal mobile de l’utilisateur.

Ce dispositif vise à protéger les utilisateurs mais également la banque qui peut conserver les informations afin de vérifier ultérieurement si le client a été victime d’une escroquerie suite à une négligence grave, ce qui pourrait la dispenser de son obligation de remboursement.


Comment garantir la protection des données personnelles
et stratégiques (RGPD) ? 

Je découvre


L’accès à l’application bancaire ne doit pas être refusé à l’utilisateur dans le cas où il ne donne pas son consentement. Uniquement les fonctionnalités exposées à la fraude peuvent lui être limitées, toutefois, elles doivent être accessibles via d’autres canaux (site internet, par agence…).

La CNIL précise que le consentement doit être recueilli lors de l'utilisation de l’application et non lors de son installation. 

Enfin, les personnes doivent pouvoir retirer leur consentement aussi facilement qu’elles l’ont donné et doivent pouvoir s’opposer à la conservation de leurs données personnelles.

Source : La CNIL

3. Fuite massive de données, parmi les plus graves de l’histoire du Royaume-Uni 

La presse britannique a révélé le mardi 15 juillet, l’existence d’une fuite massive de données.

En février 2022, les informations personnelles d’environ 19 000 Afghans, qui demandaient l’asile au Royaume-Uni après avoir travaillé pour les autorités britanniques, avaient fuité. Leurs noms et coordonnées avaient été divulgués, ainsi que l’identité de membres de leur famille à cause d’une erreur d’un responsable britannique travaillant pour le ministère de la défense.

Dans une autre affaire, le ministère de la défense britannique s’était vu infliger en 2023 une amende de plus de 400 000 euros pour avoir diffusé par erreur les données de 265 interprètes afghans ayant travaillé pour les forces britanniques. De plus, en septembre 2021, le ministère avait envoyé un courrier à 245 Afghans voulant s’installer au Royaume-Uni. Les adresses mails de tous les destinataires étaient visibles (n’étaient pas mises en copie cachée). 


Découvrez notre guide des bonnes pratiques RGPD

Je découvre


Picto newsletter FOCUS SUR LES DERNIERES CYBERATTAQUES PUBLIEES

Clinique privée à Saint-Etienne : 126 000 patients concernés par la cyberattaque

La clinique de Saint-Etienne a subi une cyberattaque et des données de plus de 126 000 patients ont été volées. Le fonctionnement de l’établissement n’a pas été impacté et il n’y a eu aucun incident sur la prise en charge des patients. Suite à cette cyberattaque, les patients ont été informés des données qui ont été dérobées : ce sont principalement des données administratives. 40 d’entre eux sont concernés par le vol de données médicales. 

Louis Vuitton UK victime d’une cyberattaque

Selon les premières informations, un pirate a été en mesure de pénétrer dans les systèmes de la marque afin de hacker des informations telles que les noms, les coordonnées et l’historique des achats des clients. L’enseigne a indiqué à ses clients via un email que des tentatives d’hameçonnage, de fraude ou l’utilisation non autorisée des informations recueillies pouvaient se produire. Pour le moment, aucune donnée financière, telle que les coordonnées bancaires, n’ont été consultées.

Il y a quelques jours la branche sud-coréenne de Louis Vuitton avait également été attaquée, des informations personnelles incluant noms, prénoms, adresses postales, numéros de téléphone et e-mails étaient entre les mains des cybercriminels.

Depuis plusieurs mois, les attaques informatiques visant les enseignes de distributions se sont multipliées. 

Découvrir notre accompagnement en cybersécurité

Une nouvelle sanction de la CNIL

Shein sous la menace d’une amende record de 150 millions d’euros

La CNIL a requis une amende de 150 millions d’euros à l’encontre du géant de commerce en ligne pour non-respect de la législation sur les cookies.

La commission rapporte “plusieurs manquements à ses obligations prévues par la loi”, concernant les fichiers informatiques utilisés pour tracer la navigation des internautes et leur proposer des publicités ciblées, notamment en matière de “consentement des utilisateurs” et de respect de ce consentement.

Un premier contrôle avait eu lieu le 10 août 2023 et a révélé que le site plaçait “des cookies publicitaires sans recueillir le consentement des utilisateurs” ou avec “un mode de recueil du consentement qui prêtait à confusion”. La CNIL avait pointé le fait que la société avait les moyens humains et techniques de se mettre en conformité. 


Comment être en conformité RGPD ? 

Je découvre


Le géant a contesté l’analyse faite par la CNIL en indiquant que le modèle économique de Shein “ne repose pas sur les données personnelles”, mais sur “les vêtements”. La CNIL a indiqué en rétorqué “qu’il faut prendre en compte l’entièreté” de l’économie du groupe “car c’est Shein maison mère qui tire bénéfice de ces publicités”.

Si la CNIL inflige les 150 millions d’euros d’amende à Shein, il s’agirait d’un quasi record. Seul Google en 2022 a écopé d’une telle sanction par la CNIL, également à cause de pratiques concernant les cookies.

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème