Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois de novembre 2025

A la Une25/11/2025
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois de novembre 2025 : Mort numérique, monétisation des données, Digital Omnibus et cyberattaques !

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de novembre 2025 :

  1. Morts numériques : quelle procédure suivre ?
  2. L’impact de la monétisation des données personnelles
  3. Le Digital Omnibus : un projet controversé
  4. Retour sur les dernières cyberattaques

1. Morts numériques : quelle procédure suivre ?

L’article 85 de la Loi Informatique et Libertés (LIL) donne la possibilité pour les personnes concernées, de définir des directives relatives à la conservation, à l’effacement et à la communication de leurs données à caractère personnel après leur décès. Ces directives peuvent être particulières ou générales.

 

  • Les directives particulières concernent un service en particulier (par exemple, un éditeur d’une plateforme en ligne) et doivent être communiquées directement à l’organisme concerné.
  • Les directives générales sont comme un “testament” concernant les données personnelles. Elles doivent être transmises à un tiers de confiance (par exemple, un notaire). La personne peut modifier ou annuler ses directives à tout moment.

Les profils en ligne demeurent actifs s'il n'y a pas eu d'instructions données par l'utilisateur de son vivant ni de demande de suppression de la part des héritiers ou proches.

De nombreux services numériques offrent des fonctionnalités spécifiques vous permettant de paramétrer la gestion de votre compte de votre vivant, afin que vos souhaits soient respectés après votre décès. Certains services numériques majeurs, tels qu'Apple, Facebook ou Google, permettent à leurs utilisateurs de désigner un ou plusieurs contacts légataires. Si aucun contact légataire n'a été désigné, seuls les héritiers et ayants droit reconnus peuvent obtenir l'accès à certaines données du compte et demander des actions (comme la suppression ou la récupération).

Si aucune directive n’a été donnée avant le décès de la personne, alors le cadre général prévu par la LIL s’applique, dans ce cas les héritiers et proches peuvent :

  • Clôturer les comptes utilisateurs du défunt ;
  • S'opposer à la poursuite du traitement des données personnelles ;
  • Demander la mise à jour des traitements de données ;
  • Accéder aux informations et données personnelles utiles à la liquidation et au partage de la succession ;
  • Recevoir la communication de biens numériques (musiques, vidéos) ou de données assimilables à des souvenirs de famille (si transmissibles).

Une personne qui s'estime lésée par la gestion des données d'un proche décédé (traitement, utilisation, etc.) peut saisir les tribunaux pour demander réparation du préjudice subi.

De même, les héritiers peuvent engager une action en justice si l'utilisation des données personnelles du défunt :

  • Porte atteinte à sa mémoire, sa réputation ou son honneur.
  • Cause un autre type de préjudice.
 

Source : La CNIL

2. L’impact de la monétisation des données personnelles

Ces dernières années, des sujets autour de la monétisation des données personnelles ont émergé. On parle de “vente” de données provenant des entreprises privées, des travaux de recherche académiques, ou du secteur public.

Pour rappel la CNIL indique que cette monétisation ne relève d’aucun cadre légal puisqu’on ne peut pas renoncer à des droits sur ses données.

Il reste possible d’avoir un droit d’usage sur ses données : l’individu vend le droit d’usage de ses données à une entreprise si la valeur qu’il leur attribue est inférieure à ce que l’entreprise est prête à payer, cela créer un profil mutuel. Toutefois, à l’inverse l’individu refuse la cession si la valeur de ses données est supérieure à l’offre de l’entreprise.

La CNIL s’est posée la question de savoir si les individus sont à l'aise avec la monétisation de leur vie privée et à quel prix.

65% des répondants sont prêts à vendre leurs données. dont 28% privilégient une valorisation entre 10 et 30 euros mensuels. A l’inverse, 35% des individus ne veulent pas vendre leurs données.

Un croisement de données à été réalisé avec une enquête demandant aux Français s’ils étaient prêts à payer pour avoir des services en ligne sans publicité ciblées. 60% ne souhaitaient pas payer ni vendre leur données, peu importe le montant.

Au plus un individu déclare un montant élevé pour ses données, au plus il accorde une certaine importance à sa vie privée. Cela relève d’une mise en balance économique des risques et bénéfices. Le prix serait entre 1 et 100 euros et 71% sont prêts à vendre leur données dans cette fourchette de prix.

Selon l’article de Wernerfelt et al., 2022 "Estimating the value of offsite data to advertisers on Meta”, pour un prix de 5 euros, 20% des personnes pourraient vendre leur données avec 90% des entreprises qui les achèteraient.

Les 35% des répondants refusant la vente de leurs données, pourraient peut être accepté si la rémunération était suffisante et que le prix d’acceptation réel pourrait être inférieur à 40 euros. En Allemagne, 10 à 20% des individus refusaient de céder leurs données.

Ces données mettent en lumière la complexité du rapport des individus à la monétisation, oscillant entre un rejet de principe et une mise en balance du risque pour la vie privée, soulignant que la protection de la vie privée ne se limite pas uniquement à une question de prix.

Et vous seriez-vous prêt à vendre vos données personnelles ?


Source: CNIL

 

Comment être en conformité RGPD ?

Découvrez notre accompagnement RGPD

Notre accompagnement
3. Le Digital Omnibus : un projet controversé
La Commission européenne prépare un projet appelé “Digital Omnibus”. L’objectif est de simplifier les réglementations apparues depuis 2020 sur les données personnelles, la cybersécurité et l’Intelligence Artificielle (IA). Cette simplification consoliderait la souveraineté numérique européenne et rendrait les textes législatifs moins coûteux à mettre en œuvre. Le but serait de construire un cadre où les données pourraient circuler plus librement entre administrations, tout en maintenant un haut niveau de sécurité et de protection.
Interface d'intelligence artificielle (IA) avec des icônes de technologie et de données en hexagone.
Focus
Comment simplifier les réglementations sur les données personnelles ?

Ce projet est controversé car les modifications envisagées touchent directement aux principes fondateurs du RGPD. Par exemple, l’extension du recours à l’intérêt légitime pour entraîner les modèles d’IA, avec des données personnelles ou la possibilité de traiter dans certains cas, des données sensibles afin de ne pas entraver le développement d’IA.

Le digital Omnibus permettrait d’améliorer la cohérence entre l’IA Act et les autres règlements existants, comme le RGPD. En simplifiant les chevauchements et les interactions entre les obligations de l'AI Act (concernant la classification des risques et les exigences de qualité des données) et les principes de protection des données, l’UE espère accélérer le développement de l’IA en offrant aux développeurs et aux entreprises, une meilleure prévisibilité juridique.

Le projet concerne aussi la définition d’une donnée personnelle. La Commission européenne s’inspire de la jurisprudence de la Cour de justice de l’Union Européenne sur les arrêts Breyer, Nowak et EDPS c. SRB. Une information ne devrait être considérée comme une donnée personnelle que si l’acteur qui la détient dispose de moyens raisonnablement susceptibles d’identifier la personne concernée. Ainsi, une même donnée pourrait être qualifiée de “personnelle” pour un acteur capable d’identifier la personne concernée, mais ne pas l’être pour un autre qui ne le peut raisonnablement pas.

Le risque principal de cette nouvelle définition est que la protection d’une même information ne soit plus uniforme et dépend de l’acteur. Une donnée serait "protégée" (qualifiée de personnelle) pour une grande entreprise ayant des ressources d'identification étendues, mais "non protégée" (non personnelle) pour une PME ou un tiers n'ayant pas ces moyens.

Ceci pourrait entraîner des situations où des acteurs estiment qu’ils n’ont pas les moyens internes afin d’identifier une personne, échappant ainsi aux obligations du RGPD.

Les audits de conformité devraient désormais non seulement examiner les données, mais aussi les ressources, les bases de données croisées et les capacités techniques de l'entreprise, rendant l'évaluation fastidieuse et subjective.

La portée du RGPD serait donc réduite pour une grande partie des données traitées par des acteurs moins puissants. Moins de données seraient qualifiées de "personnelles" par ces acteurs, entraînant moins d'obligations de sécurité, de transparence, de respect des droits d'accès ou d'effacement, ce qui affaiblit considérablement la protection globale des individus.
Ces assouplissements sont fortement critiqués par les ONG (comme noyb) qui y voient un risque majeur pour la vie privée des citoyens européens.

 

Sources : Commission Européenne, Solutions-Numériques

Découvrez notre accompagnement en cybersécurité

4. Retour sur les dernières cyberattaques

Pajemploi : victime d’un vol de données

Le service Pajemploi a été victime d’un vol de données personnelles des particuliers, employeurs et des salariés utilisant le service. Les données concernées sont le nom, prénom, date et lieu de naissance, adresse postale, numéro de sécurité sociale, nom de l’établissement bancaire, numéro d’agrément et numéro Pajemploi. Toutefois, aucun numéro de compte bancaire, adresse mail ou numéro de téléphone n’ont été dérobés.

Pajemploi a directement pris les mesures nécessaires lorsque l’incident a été identifié. Une plainte a été déposée et un signalement auprès de la CNIL et de l’ANSSI a été notifié.

Source : Les Echos

Weda : paralysie du système et fuite de données

Weda est un éditeur de logiciel médical utilisé par les professionnels de santé dans la gestion de leurs consultations, facturation et leurs dossiers patients. Le logiciel a été visé par une cyberattaque le 10 novembre. 23 000 médecins ne pouvaient plus lire les données personnelles des patients, leurs antécédents, leurs ordonnances etc…. Une semaine plus tard, la situation n’est toujours pas revenue à la normale. Les données personnelles touchées sont le nom, prénom, adresse mail, numéro de téléphone, adresse postale et données de santé. Un mode dégradé du retour de la plateforme revient au fur et à mesure mais certaines fonctionnalités ne sont pas accessibles. De nombreux médecins ont dû utiliser le format papier.

Weda a envoyé un message aux clients, médecins et utilisateurs indiquant qu’ils devaient eux-mêmes faire la déclaration auprès de la CNIL considérant qu’ils sont responsables de traitement des données de patients. De plus, certains médecins ont averti leurs patients en indiquant quelques mesures à prendre en cas de réception de mail frauduleux.

Source : Le Monde

Eurofiber : un incident de sécurité

Le 13 novembre, un incident de sécurité a été relevé chez Eurofiber concernant la plateforme de gestion des tickets utilisée par Eurofiber France et le portail client ATE (division cloud). Eurofiber est un fournisseur d’infrastructures numériques. Un acteur malveillant a exfiltré des données liées à ces plateformes. Dès les premières heures qui ont suivi l’incident, les vulnérabilités ont été corrigées et la sécurité renforcée. Les informations bancaires et les données critiques n’ont pas été touchées. Les services sont restés opérationnels tout au long de l’attaque. Eurofiber a informé les clients dès la détection de la cyberattaque. Une notification auprès de la CNIL a été faite ainsi qu’auprès de l’ANSSI. De plus, une plainte a été déposée.

Source : Eurofiber

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème