Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les actualités RGPD du mois de mai 2026

A la Une26/05/2026
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois de mai 2026 : bilan CNIL et contrôles prioritaires, code de conduite de l’Alliance du commerce, lunettes connectées, Shadow AI, Santé mentale et IA, cyberattaques et sanctions sont au cœur de l’actualité.

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de mai 2026 :

  1. La CNIL a fait le bilan de l’année 2025
  2. CNIL : les contrôles prioritaires pour 2026 
  3. Commerce de détail : code de conduite de l’Alliance du commerce approuvée par la CNIL
  4. Point de vigilance à l’utilisation des lunettes connectées 
  5. Shadow AI : la nouvelle menace invisible 
  6. Santé mentale des jeunes européens : l’impact de l’IA
  7. Retour sur les sanctions CNIL
  8. Retour sur les dernières cyberattaques

1. La CNIL a fait le bilan de l’année 2025

2025 est une année record en matière de plaintes reçues, de sanctions et de notifications de violations de données. 

Voici quelques chiffres, en matière de  :

  • de plaintes reçues des personnes concernées : 20 150 plaintes, soit 10% de plus qu’en 2024. Les secteurs étaient principalement dans le cadre du travail, du commerce, de l’immobilier et des réseaux sociaux. 
  • d’amendes attribuées : 323 contrôles ont été effectués dont 83 sanctions pour un total de 487 millions d’euros. Tous types d’entreprises ont été concernées et secteurs d’activité confondus. 
  • d’information et de sensibilisation : avec de nombreux partenariats, la CNIL échange avec le public, particulièrement les mineurs. Plus de 20 000 personnes ont été sensibilisées notamment avec la présence de la CNIL dans de nombreuses manifestations. Il y a également eu le lancement de la plateforme FantomApp qui permet d’aider les jeunes à se protéger sur les réseaux sociaux. La CNIL a répondu à plus de 35 000 appels. 
  • cybersécurité : 6 167 violations de données ont été notifiées auprès de la CNIL, soit 9,5% de plus qu’en 2024. 
  • accompagnement proactif : 7 consultations publiques ont été lancées, sur des thématiques diverses telles que les véhicules connectés ou encore les traceurs sur internet. Des fiches pratiques ont également été publiées afin de rappeler les règles et bons usages. 

En 2026, la CNIL indique consacrer la moitié de ses contrôles et actions répressives en matière de sécurité des données. 

Source : La CNIL

2. CNIL : les contrôles prioritaires pour 2026

Cette année, la CNIL a défini trois axes de contrôle prioritaires : le secteur du recrutement, la gestion du Répertoire Électoral Unique (REU) et les pratiques des fédérations sportives. 

En 2023, la CNIL a publié un guide pour aider les recruteurs à utiliser des données personnelles des candidats. Cela va permettre de vérifier que les acteurs respectent le RGPD. Les contrôles portent sur des thématiques du guide comme les systèmes de prise de décision automatisée, l’information des candidats et les durées de conservation. Les grandes entreprises seront la cible de ce contrôle, ainsi que les cabinets de recrutement. 

Le REU est un fichier porté par l’INSEE pour gérer les listes électorales, les procurations, la campagne électorale, les déclarations des ressortissants français et la vérification de l’inscription sur les listes électorales des électeurs apportant leur soutien à une proposition de loi. 

Depuis les Jeux Olympiques et paralympiques de 2024, les clubs de sport ont vu leurs inscriptions se multiplier, traitant un grand nombre de données, dont des données de santé ou liées aux infractions pénales. 

De plus, la CNIL a présenté son programme de travail et devient officiellement le régulateur de l’AI Act en France.

La CNIL va publier de nouveaux guides pratiques sur la gouvernance et la documentation des données pour accompagner les DPO. Avec l'essor de l'IA, ce rôle devient un pilier stratégique : les entreprises doivent structurer cette fonction dès maintenant pour anticiper des contraintes réglementaires de plus en plus lourdes. 

Source : la CNIL

3. Commerce de détail : code de conduite de l’Alliance du commerce approuvée par la CNIL

Pour aider les professionnels à prouver leur respect de la réglementation, le RGPD propose le code de conduite : un recueil de bonnes pratiques adapté aux besoins spécifiques de chaque secteur d'activité. 

L’Alliance du Commerce a porté un code de conduite : il s’agit du premier code de conduite de portée nationale et du troisième code de conduite sectoriel validé par la CNIL. Celui-ci s'applique au secteur de l’habillement et de la chaussure, autrement dit aux magasins qui adhèrent à l’Alliance du Commerce et qui agissent en qualité de responsable de traitement pour les activités de vente et distribution de détail. Il ne comprend pas les fournisseurs ou employés. Ce code identifie les points de contrôle et les exigences attendues par le RGPD. 

Les enseignes qui adhèrent à ce code, valorisent leur indicateur de conformité et cela sera vu comme un gage de confiance pour les clients/partenaires. 

Ce code de conduite s'articule autour de huit chapitres clés pour encadrer vos pratiques. Il définit d'abord le champ d'application spécifique au secteur avant de décliner les principes fondamentaux du RGPD (licéité, conservation) selon les métiers. Il détaille également les obligations opérationnelles des enseignes — de la sécurité à la gestion des sous-traitants — sous forme de règles auditables, tout en fixant les modalités de gouvernance pour garantir le suivi et l'évolution du dispositif. L’Alliance du Commerce propose une “boîte à outils” avec des modèles de document pour faciliter la démarche de conformité. 

Pour assurer une réelle efficacité, un contrôleur externe agréé par la CNIL veillera au respect des règles du code de conduite. Bien que distinct de la CNIL, cet expert vérifiera les engagements de chaque enseigne, avant et pendant leur adhésion. 

Le 17 mars 2026, la CNIL a officiellement agréé AFNOR CERTIFICATION comme organisme de contrôle du code de conduite de l'Alliance du Commerce. Cette décision, conforme aux exigences du référentiel adopté le 30 avril 2020, prend effet immédiatement pour une période de cinq ans. 

Sources : La CNIL et Délibération 2026-053 du 5 mai 2026

Découvrir notre accompagnement en RGPD

Je découvre

4. Point de vigilance à l’utilisation des lunettes connectées

Les lunettes connectées sont des lunettes des capteurs sur la monture (micro et caméra), connectées au téléphone mobile par une application dédiée. Ces lunettes permettent notamment de téléphoner, écouter de la musique, etc.

Un système d’intelligence artificielle est présent, intégrant un agent conversationnel avec lequel le porteur peut dialoguer sur des questions générales. Ainsi, pour répondre, l’agent peut déclencher les capteurs présents sur les lunettes. Des fabricants développent des verres intelligents qui remplacent l'écran du téléphone, offrant ainsi une alternative à l'usage permanent du téléphone mobile.

En janvier, la CNIL a mené une enquête auprès des Français sur l’usage de ces lunettes. Le rapport a montré que la majorité des personnes estiment que ces lunettes représentent un risque d’atteinte à la vie privée (notamment au regard du droit à l’image, leur consentement, les possibilités de détournements). 

Au-delà du RGPD, les lunettes soulèvent également des enjeux éthiques et sociétaux importants. Les lunettes connectées soulèvent des enjeux majeurs en matière de vie privée en raison de leur caractère intrusif. Contrairement à un smartphone, cet objet du quotidien filme en continu tout ce que l’utilisateur regarde, souvent à l’insu de l’entourage. La difficulté de les distinguer de lunettes classiques et l'absence de signalements visuels clairs rendent l'information des personnes filmées presque impossible, marquant ainsi une rupture avec les usages numériques habituels au profit d'une captation permanente et invisible. 

Ces lunettes pourraient engendrer un risque élevé de surveillance - toute personne peut être équipée d’une caméra dans les espaces publics et privés. Il pourrait y avoir une saturation de l’espace social par des capteurs. L’usage généralisé des lunettes connectées fait peser une menace réelle sur la vie privée et les libertés individuelles. En installant un climat de surveillance permanente, ces dispositifs risquent de provoquer une autocensure néfaste au débat public et aux libertés d’expression. Leur irruption dans des lieux intimes (cabinets médicaux, vestiaires) soulève des enjeux éthiques majeurs, menaçant de transformer radicalement nos interactions sociales au détriment de l'intimité. 

La CNIL met un point de vigilance à l’utilisation de ces lunettes. Bien que certains promoteurs les mettent en avant pour aider les personnes en situation de handicap (aide visuelle et auditive), leur déploiement ne doit pas se faire au dépend des droits et libertés de chacun. Chaque utilisateur doit respecter la vie privée des personnes notamment lorsque leur voix et image sont captées.  

Des bonnes pratiques ont été publiées par l’autorité de contrôle. 

Source : La CNIL

5. Shadow AI : la nouvelle menace invisible

Alors que les entreprises s'efforcent de définir une stratégie officielle pour l'intelligence artificielle, une révolution silencieuse a déjà commencé : celle du Shadow AI.

À l'instar du « Shadow IT » (l'usage de logiciels non approuvés par la DSI), le Shadow AI désigne l'utilisation d'outils d'IA générative par les collaborateurs sans supervision, ni autorisation de l'entreprise.

Les trois risques majeurs pour l’organisation sont :

  1. La fuite de données : les informations injectées dans une IA publique peuvent être utilisées pour réentraîner les modèles. Des secrets industriels ou des informations sensibles pourraient ainsi se retrouver dans la réponse donnée à un concurrent.
  2. L’erreur juridique : si un salarié utilise une IA pour rédiger un contrat ou un diagnostic technique sans contrôle, il peut valider des erreurs factuelles graves, dont l’entreprise sera légalement responsable.
  3. Le non-respect du RGPD et de l’AI Act : l’usage d’outils hébergeant des données hors de l’Union européenne, sans accord de protection adéquat, expose l’entreprise à des sanctions massives.

La solution réside dans l’encadrement :

  • Identifier les usages : utiliser des outils de surveillance réseau ou des solutions comme, par exemple Microsoft Agent 365, pour cartographier les outils d’IA réellement utilisés sur les postes de travail.
  • Fournir une alternative sécurisée : proposer une IA d’entreprise où les données sont isolées et ne servent pas à l’entraînement global du modèle (ex. : versions « Entreprise » de ChatGPT, Microsoft Copilot ou Gemini).
  • Établir une charte IA : ce document doit lister les outils autorisés, définir les données interdites de saisie et rappeler l’obligation de mentionner tout contenu généré par l'IA.
  • Sensibiliser : il est crucial de former les salariés aux risques et aux bonnes pratiques pour transformer l'usage de l'IA en levier de performance sécurisé.

6. Santé mentale des jeunes européens : l’impact de l’IA

Une enquête a été menée par le Groupe VYV et par la CNIL dans quatre pays européens (France, Allemagne, Suède, Irlande), sur l’utilisation de l’IA par les jeunes. 

L’IA conversationnelle est déjà omniprésente chez les jeunes répondants, l’étude est portée sur les jeunes de 11 ans à 25 ans

En effet, selon l’enquête 86% des jeunes français utilisent des outils d’IA pour les usages suivants

  • Comme outil scolaire ou professionnel pour écrire ou améliorer un texte, résumer ou analyser des données, l’aide aux devoirs ou encore réviser un examen. 
  • Pour les loisirs : permet d’écouter la musique, bénéficier d’astuces pour les jeux vidéos ou encore cherche des idées d’activités
  • Pour parler de sujets intimes ou personnels : recevoir des conseils et discuter de sujets intimes. 64% des français considèrent l’IA comme un conseiller de vie. Près de la moitié d'entre eux y confient des données personnelles ou liées à leur santé mentale, une tendance qui soulage mais alerte sur les risques pour la vie privée et l'équilibre psychologique. 

De plus, 85% des français souhaitent avoir plus d’informations sur les risques de l’IA et les bonnes pratiques à mettre en œuvre pour l’utiliser. 

En revanche, 32% des jeunes déclarent connaître l’utilisation de leur données qu’ils confient à l’IA, un pourcentage plus faible face aux autres pays européens interrogés. Ce point souligne l’obligation des acteurs de santé et régulateurs à renforcer la prévention et l’accompagnement à l’utilisation de l’IA. 

La CNIL tire la sonnette d’alarme sur le “Shadow IA” personnel. C’est un appel à l’action des parents ainsi qu’aux membres de l’éducation nationale.

L'objectif n'est pas d'interdire l'usage de l'IA, désormais ancré dans les pratiques, mais de former les jeunes à la réalité technique de ces outils : sous une apparence de convivialité, ces systèmes peuvent traiter des volumes massifs de données personnelles mais ne se substituent pas à une expertise humaine qualifiée. 

Il est important de sensibiliser dès le plus jeune âge, à utiliser correctement les agents conversationnels, plutôt comme une aide que comme une source de vérité absolue. 

Il faut apprendre aux jeunes, dès l'enfance, à voir les IA comme des assistants plutôt que comme source de savoir infaillible. 

Source : La CNIL - infographie “Les jeunes européens & l’IA conversationnelle”

7. Retour sur les sanctions CNIL

Une décision de la CNIL en date du 2 avril 2026 a conduit à une amende administrative de 7 500 € contre une enseigne de boutiques de toilettes pour des manquements liés à la vidéoprotection et à l'absence d'analyses d'impact. Ce cas concret rappelle que la sécurité des données et l'encadrement des sous-traitants sont des obligations nécessaires à respecter. Le futur code de conduite de l'Alliance du Commerce est justement là pour accompagner les professionnels de la vente : il simplifie le cadre juridique en fiches métiers pour sécuriser les établissements. 

Source : La CNIL

8. Retour sur les dernières cyberattaques

ANTS : Fuite de données 

Mi-avril, la plateforme de l’Agence nationale des titres sécurisés (organisme public qui accompagne les usagers dans leur démarche de carte d’identité, permis de conduire, immatriculation des véhicules) qui permet d’obtenir des titres d’identité a été victime d’une intrusion informatique. Les données de particuliers et d’entreprises ont été la cible : état civil, données de connexion, adresse email, date de naissance, voire des adresses postales et numéro de téléphone. 

Les personnes concernées ont été informées par mail de l’attaque et des investigations sont en cours pour déterminer l’origine et l’ampleur. Probablement 11,7 millions de personnes seraient concernées. 

Il a été recommandé une vigilance particulière de la part des personnes concernées aux éventuels messages frauduleux et campagne de phishing ou d’attaque par ingénierie sociale. 

Sur un forum de piratage, une annonce indique qu’une base de presque 19 millions d'enregistrements a été mise en vente. 

Source : Le Monde

Pour vous proposer ce contenu, nous avons utilisé l'IA générative en complément de notre travail éditorial. 

Notre accompagnement en cybersécurité

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées :

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site
Publication

Bonnes pratiques de la protection des données personnelles et stratégiques

Sur le même
thème