Les principales actualités du mois
Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de juin 2026 :
- Adoption d’un modèle commun de notification de violations de données : la rencontre entre le CEPD et le commissaire européen McGrath
- Communication électronique : la CNIL précise les règles à respecter pour les professionnels
- Retour sur les sanctions CNIL
- Retour sur les dernières cyberattaques
1. Adoption d’un modèle commun de notification de violations de données : la rencontre entre le CEPD et le commissaire européen McGrath
Lors de sa récente session plénière, le CEPD a reçu le commissaire européen Michael McGrath (Démocratie, Justice, État de droit et Protection des consommateurs) et a officialisé l'adoption d'un modèle commun pour la notification des violations de données.
Le récent échange entre le CEPD et le commissaire européen Michael McGrath a permis de consolider une vision commune sur plusieurs dossiers majeurs. Sur le volet de l'Omnibus numérique, le CEPD a réitéré sa vigilance quant à la préservation de la définition des données personnelles.
La rencontre a également mis en lumière l'importance d'une coopération inter-réglementaire et internationale renforcée pour faire face aux défis mondiaux. Parmi les autres chantiers prioritaires : la protection des données des enfants (avec des lignes directrices en préparation), la transparence de la publicité politique (marquée par l'adoption d'un récent rapport suite à l'audition des parties prenantes du 27 mars 2026), et enfin, un appel pressant à doter les autorités de protection des données de moyens financiers et humains à la hauteur de leurs ambitions.
Dans le cadre de la déclaration d’Helsinki, le CEPD innove en adoptant un modèle commun de notification des violations de données. L'objectif ? Harmoniser les procédures européennes et sécuriser le respect de l'article 33 du RGPD.
Ce formulaire standardisé, doté d'options prédéfinies et de guides intégrés, vise à réduire les coûts et les délais de traitement, offrant un soutien aux petites organisations sans ressources juridiques dédiées ou DPO désigné. Le projet est actuellement ouvert à la consultation publique jusqu’au 5 août 2026, date après laquelle le calendrier de déploiement obligatoire au sein des différentes autorités nationales sera acté.
2. Communication électronique : la CNIL précise les règles à respecter pour les professionnels
La Commission nationale de l'informatique et des libertés (CNIL) rappelle aux professionnels les règles strictes encadrant l’envoi de courriels et de SMS aux clients et prospects. Pour les directions marketing, juridiques et commerciales, l'enjeu consiste à maîtriser la frontière entre message commercial, relationnel et transactionnel, afin d'éviter tout risque de sanction ou d'atteinte à la réputation de l'entreprise.
Le principe fondamental pour toute démarche de prospection commerciale par voie électronique demeure le recueil d’un consentement préalable, libre, spécifique et éclairé. L'autorité de contrôle apporte une précision concernant l'exception dite "client" : une entreprise peut solliciter ses clients existants sans accord préalable uniquement si les offres concernent des produits ou services analogues à ceux déjà achetés. La CNIL insiste fortement sur le fait qu'une simple inscription en ligne ou la création d'un compte sans achat effectif ne caractérise pas une relation commerciale. Dans ce cas précis, le consentement préalable redevient obligatoire.
À l'inverse, les communications purement transactionnelles (comme une confirmation de commande ou une facture) et les communications relationnelles (telles que le suivi d'un dossier ou une alerte de sécurité) échappent à cette obligation de consentement. Elles reposent alors sur l'exécution du contrat ou sur l'intérêt légitime de l'organisation. L'insertion de bannières publicitaires ou d'offres promotionnelles significatives au sein d'un message transactionnel ou relationnel peut entraîner sa requalification automatique en prospection commerciale, exposant l'entreprise à des sanctions si le consentement n'avait pas été recueilli.
Sur le plan technique et opérationnel, la transparence doit être totale dès la collecte des données. Les utilisateurs doivent être informés de l'identité de l'organisme, des finalités poursuivies et de la possibilité de s'opposer aux envois à tout moment, de manière simple et gratuite. Pour matérialiser ce choix, l'utilisation de cases pré-cochées pour obtenir un consentement est strictement interdite. La CNIL recommande également l'usage de cases décochées par défaut pour permettre aux personnes d'exercer leur droit d'opposition. Une fois l'opposition exprimée, elle doit être prise en compte durablement grâce à une liste d’opposition (ou "liste repoussoir") afin de bloquer définitivement tout nouvel envoi involontaire.
Enfin, la mise en conformité globale exige une bonne gouvernance en interne. Les entreprises doivent être capables de documenter et de prouver la validité de chaque consentement collecté. Cela implique de définir des durées de conservation des données adaptées, de sécuriser l'ensemble des bases de données marketing et d'encadrer contractuellement les prestataires ou tiers impliqués dans le routage des campagnes.
3. Retour sur les sanctions CNIL
5 millions d’euros d’amende pour IQVIA
Fin mai 2026, la CNIL a sanctionné la société IQVIA OPERATIONS FRANCE d’une amende de 5 millions d’euros pour ne pas avoir mis en place des garanties limitant les risques pour les personnes dans le cadre de la gestion d’entrepôt de données de santé.
La société IQVIA OPERATIONS FRANCE (filiale du groupe IQVIA) est spécialisée dans le conseil et la réalisation d'études (maladies ou administration de traitement, pour son compte ou pour des laboratoires pharmaceutiques.
Pour réaliser ces études, la société dispose de 2 entrepôts de données de santé autorisés par la CNIL. Les données sont collectées auprès des pharmacies et des médecins.
Traitant un certain nombre d’autorisations de santé, la CNIL avait exigé la mise en place de garantie pour limiter les risques pour les personnes et respecter leurs droits. Les données sensibles doivent bénéficier d’une protection renforcée.
Suite à un reportage télévisé, plusieurs plaintes ont été déposées auprès de la CNIL par des particuliers et des associations relevant le manque de transparence des traitements mis en œuvre à l’égard des patients. Des contrôles ont été menés auprès des pharmacies partenaires.
Selon la CNIL, la société n’a pas respecté les principes liés au RGPD, à savoir l’information des personnes concernées, l’exercice des droits et la sécurité des données.
La société a répondu en indiquant que les données des entrepôts étaient anonymes et que les règles de protection des données ne sont pas applicables.
Le contrôle de la CNIL (formation restreinte) a confirmé que ces données ne sont pas anonymes mais uniquement pseudonymes. L’identification étant donc possible, le RGPD s’applique. Elle a notamment considéré que “le risque que l’identité des personnes puisse être retrouvée était trop élevée”.
2 manquements ont été sanctionnés :
- à l’obligation de respecter les autorisations délivrées par la CNIL : le traitement de données de santé peut être mis en œuvre qu’après autorisation de la CNIL ou en étant conforme à un référentiel (article 66 II LIL). En l'espèce, les traitements mis en œuvre ne respectent pas les conditions des autorisations délivrées. Par exemple, aucune mesure pour analyser régulièrement les journaux de connexion et donc détecter les activités suspectes.
- à l’information des personnes pour l’un des deux entrepôts : la CNIL a constaté que certaines des pharmacies n'informaient pas la transmission des données clients à IQVIA. En tant que responsable de traitement, IQVIA doit s’assurer que l’information est délivrée auprès des personnes concernées.
4. Retour sur les dernières cyberattaques
Métropole et Ville de Rennes
La Ville de Rennes et Rennes Métropole ont subi une cyberattaque début juin. Uniquement les données de l’annuaire interne ont été volées. Dès la connaissance de l’incident, des mesures ont immédiatement été prises pour limiter les impacts et une notification a été faite à la CNIL.
Aucune donnée des administrés ne sont concernées, mais uniquement celles qui figurent dans l’organigramme interne des collectivités et l’annuaire de la messagerie électronique des agents (des données d’identification et des données liées à la vie professionnelle). Rennes Métropole a décidé de porter plainte.
Il a été recommandé une vigilance particulière de la part des personnes concernées aux éventuels messages frauduleux et campagne de phishing ou d’attaque par ingénierie sociale.
Sur un forum de piratage, une annonce indique qu’une base de presque 19 millions d'enregistrements a été mise en vente.
Source : Rennes Ville et Métropole
Tchap : messagerie sécurisée des agents publics
En septembre 2025, la messagerie chiffrée Tchap a été déployée à l’ensemble des agents publics par le gouvernement pour “faire face au risque d’interception des communications”. Début juin, la Direction interministérielle du numérique (Dinum) a communiqué sur un incident de sécurité ayant touché la messagerie instantanée des agents publics. Une usurpation de compte, détectée dimanche par l'Anssi, a entraîné une fuite de données. La situation est actuellement maîtrisée : le compte compromis a été identifié et immédiatement révoqué pour neutraliser la persistance de l'attaquant sur le réseau.
La CNIL a été notifiée de l’incident et la Dinum a précisé que la compromission se cantonnait au contenu des conversations publiques. À ce stade, le volume de comptes affectés par cet incident n'a pas été divulgué.
Il a été recommandé une vigilance particulière de la part des personnes concernées aux éventuels messages frauduleux et campagne de phishing ou d’attaque par ingénierie sociale.
Sur un forum de piratage, une annonce indique qu’une base de presque 19 millions d'enregistrements a été mise en vente.
Sources : 20 minutes et FranceInfo
Fédération sportive de la Police nationale
La Fédération sportive de la Police nationale a été victime d’une cyberattaque et l’a annoncé dans un communiqué “Nous vous informons avoir appris ce matin qu’une base de données de la Fédération Sportive de la Police Nationale à pu faire l’objet d’une cyberattaque. Les données piratées pourraient remonter sur plusieurs années de licences FSPN. Une plainte a été déposée et des investigations sont en cours.”
Selon French Breaches, 224 000 individus sont concernés par la fuite de données. Les données concernées seraient des données d’identité, des documents administratifs, sportifs et médicaux, datant de 2012 à 2026. 180 000 certificats médicaux sont notamment concernés et près de 380 000 licences sportives des fonctionnaires de la Police nationale, des adhérents de la Fédération et des participants aux activités organisées par la Fédération.
Ces informations n’ont pas encore été confirmées publiquement par la Fédération.
INSEE
Le 19 juin, l’INSEE (Institut national de la statistique et des études économiques) a annoncé avoir été la cible d’une attaque informatique. Environ 12 800 personnes ont été touchées (agents actuels, anciens agents ou membres des corps de l’INSEE). Les données personnelles concernées sont des données d’identification et des coordonnées professionnelles. Aucune donnée sensible n’a été impactée.
Une plainte a été déposée auprès du procureur de la République.
Quelques jours avant, la plateforme Jeveuxaider.gouv.fr a également été victime d’une fuite de données.
Après l'Insee, plusieurs ministères, administrations et collectivités ont signalé des compromissions de données, souvent liées à l'exploitation de failles chez des prestataires tiers ou à des campagnes d'ingénierie sociale sophistiquées. Pour les entreprises, cette situation augmente mécaniquement l'exposition aux risques. Les données professionnelles et personnelles dérobées viennent alimenter de vastes bases de données, utilisées par les cybercriminels pour affiner leurs futures attaques.
Pour vous proposer ce contenu, nous avons utilisé l'IA générative en complément de notre travail éditorial.
Notre accompagnement dédié aux risques numériques
Découvrez nos solutions :
Découvrez nos filiales spécialisées :

Oppida

Oppida

LSTI

LSTI

SixFoisSept

SixFoisSept
Bonnes pratiques de la protection des données personnelles et stratégiques



