Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois d'octobre 2025

A la Une23/10/2025
Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois d’octobre 2025 : IA générative, transferts de fichiers et cyberattaques !

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois d’octobre 2025 :

  1. Précisions de la CNIL sur les programmes de fidélité
  2. IA : Comment s’opposer à la réutilisation des données personnelles pour l'entraînement des agents conversationnels ?
  3. Transferts de données UE-Royaume-Uni : l'adéquation prolongée
  4. La CNIL prononce 16 nouvelles sanctions
  5. Retour sur les dernières cyberattaques

1. Programme de fidélité : la CNIL précise l’application du droit à la portabilité des données

Dans un programme de fidélité, le code-barre (ou GTIN “Global Trade Item Number”) d'un produit est classé comme une donnée dès lors qu'il est lié aux identifiants du client (nom, email, numéro de fidélité). En effet, il révèle des informations précises sur le produit et l'acheteur, ce code doit obligatoirement être communiqué au titre de droit d’accès et peut faire l’objet d’une portabilité. 

Par conséquent, le distributeur doit fournir les codes-barres des produits achetés sur simple demande de portabilité du client ou d'un mandataire.

Le montant des promotions obtenues via un programme de fidélité est considéré comme une donnée personnelle s’il est clairement attribué au client bénéficiaire. Le montant est soumis au droit d’accès et au droit à la portabilité, permettant ainsi au client ou à son mandataire de récupérer et de le transférer à un autre organisme.

En revanche, la méthode de calcul utilisée pour obtenir le montant des promotions appliquées, telle que l’algorithme permettant de générer une promotion ciblée, ne constitue pas une donnée personnelle. Le client ne peut donc pas exiger leur communication au titre du droit à la portabilité.

Source : La CNIL

Comment être en conformité RGPD ?

Découvrez notre accompagnement RGPD

2. IA et vie privée : comment s’opposer à la réutilisation de ses données personnelles pour l’entraînement d’agents conversationnels ?

Le sigle "IA" est représenté en 3D, lumineux, sur un circuit imprimé aux reflets bleus, pour illustrer l'intelligence artificielle.
Le sigle "IA" est représenté en 3D, lumineux, sur un circuit imprimé aux reflets bleus, pour illustrer l'intelligence artificielle.

La CNIL a sorti un guide disponible sur son site pour permettre aux utilisateurs de s’opposer aux fonctionnalités prévues pour permettre d’entraîner des modèles d’IA.

Pour ChatGPT par exemple, il faut se connecter au site internet ou via l’application mobile.

  • Il faut se rendre ensuite sur les paramètres de compte, dans l’onglet “gestion des données” puis “améliorer le modèle pour tous”.
  • Décocher les cases relatives à la collecte de données utilisateurs à des fins d’amélioration de modèles d’IA. 

Pour Gemini par exemple, il faut se rendre dans les paramètres de votre compte dans l’onglet “activité”.

  • Dans “Activité dans les applications Gemini”, sélectionnez “désactiver et supprimer l’activité”.

Il est aussi possible de déposer une demande d’opposition en se rendant sur la politique de confidentialité de Gemini.

Pour LinkedIn par exemple, connectez vous sur votre compte.

  • Rendez-vous dans “Préférences” du compte puis, dans  l’onglet “Confidentialité des données” et ”Utiliser mes données pour entraîner des modèles d’IA de création de contenu”.

Vous pouvez également vous opposer à la réutilisation de vos données personnelles via un formulaire d’opposition proposé par LinkedIn. 

Source : La CNIL

3. Adéquation du Royaume-Uni : le CEPD adopte deux avis

""
""

Le CEPD (Comité européen de la protection des données) a rendu deux avis (RGPD et Directive Police-Justice) sur les projets de la Commission européenne visant à prolonger jusqu'en décembre 2031 le statut de pays assurant un niveau de protection des données adéquat pour le Royaume-Uni.

Ce statut permet les transferts de données de l'UE vers le Royaume-Uni sans exigences supplémentaires. Le CEPD note que le cadre britannique est proche de celui de l'UE, mais il appelle la Commission à approfondir sa surveillance sur plusieurs points sensibles, notamment la prise de décision automatisée, l'encadrement des transferts, et l'impact de l'accord UK-US Cloud Act sur les données des citoyens européens.

Les projets de la Commission doivent maintenant être examinés par un comité de représentants des États membres.

Source : La CNIL

Découvrez notre accompagnement en cybersécurité

4. La CNIL prononce 16 nouvelles sanctions dans le cadre de la procédure simplifiée

Dans le cadre de sa procédure simplifiée, la CNIL a sanctionné seize entités pour un montant de 108 000 euros.

Les sanctions portent principalement sur :

  • l’usage de dispositifs vidéo : deux sanctions ont été prononcées pour usage abusif de la vidéosurveillance, un établissement hospitalier et une société pharmaceutique ont été sanctionnés pour avoir filmé l'accès à un local syndical. Ceci constitue un non-respect du principe de minimisation des données (RGPD, art. 5.1.c). La CNIL rappelle que les caméras de vidéosurveillance installées dans les lieux de travail, qu’ils soient ouverts ou non au public, doivent respecter la vie privée des salariés ;
  • l’obligation de recueillir le consentement des personnes pour les opérations de prospection commerciale par voie électronique : La CNIL a sanctionné une entreprise pour non-respect de l'obligation de recueillir un consentement valable pour la prospection commerciale électronique. Cette société utilisait les données de participants à des jeux concours, les partageant ensuite avec ses clients pour des démarches commerciales. Le problème majeur résidait dans la conception du formulaire : l'option d'accepter les offres promotionnelles était si mise en évidence qu'elle induisait les participants en erreur, leur faisant croire que c'était obligatoire pour valider leur participation. Par conséquent, le consentement obtenu n'était pas un choix libre et éclairé, ce qui constitue une violation, notamment de l'article L.34-5 du Code des postes et des télécommunications ;
  • le défaut de coopération avec la CNIL : Dix des seize sanctions prononcées par la CNIL étaient dues à un manque de coopération de la part des organismes concernés. Des avocats, des médecins et diverses sociétés n'ont pas répondu aux demandes de l'autorité, qu'il s'agisse de l'instruction de plaintes ou des suites de contrôles. Ces refus de collaborer, malgré plusieurs relances, constituent une violation de l'article 18 de la loi Informatique et Libertés, qui impose aux entités de faciliter la mission de la CNIL et de ne pas s'opposer à son action.

Source : La CNIL

Picto newsletter 5. RETOUR SUR LES DERNIERES CYBERATTAQUES

Jaguar Land Rover reste paralysé, Londres débloque 1,5 milliard d’aide d’urgence

Jaguar Land Rover est à l'arrêt forcé depuis fin août 2025. Une cyberattaque a mis hors ligne les systèmes informatiques du constructeur britannique, filiale de l'indien Tata Motors, paralysant entièrement la production dans ses usines. Plus d'un mois après, cette crise inédite continue : les chaînes d'assemblage sont bloquées et des milliers d'employés n'ont toujours pas accès à leurs outils de travail.

Les répercussions financières de la crise sont considérables, avec des pertes estimées à 50 millions de livres sterling (environ 57 millions d’euros) par semaine. L'impact s'étend à toute la chaîne d'approvisionnement : des centaines de PME sous-traitantes subissent des interruptions de leurs flux financiers.

L'attaque a été revendiquée par un groupe de hackers sur Telegram. Ils auraient exploité des vulnérabilités dans des applications internes et compromis des comptes pour s'introduire dans les systèmes.

Pour stabiliser la situation, le gouvernement britannique est intervenu en accordant une garantie de prêt de 1,5 milliard de livres sterling (environ 1,7 milliard d'euros) afin de sécuriser l'industrie automobile. Une enquête est en cours, menée en coopération avec le National Cyber Security Centre (NCSC), l’équivalent britannique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Source : L’Usine Digitale

Une cyberattaque touche l’hôpital de Pontarlier, son système informatique à l’arrêt

Le Centre hospitalier intercommunal de Haute-Comté (CHIC) a été paralysé par une cyberattaque de type rançongiciel dans la nuit du 18 au 19 octobre, entraînant le chiffrement d'une partie de ses données.

La direction a immédiatement mis à l'arrêt l'intégralité de son système informatique (logiciels, messagerie, etc.) et a dû revenir aux procédures papier, malgré une simulation d'attaque menée le mois précédent. Bien que la continuité et la sécurité des soins aient été maintenues, les serveurs de l'établissement étant compromis, le CHIC devra migrer vers une nouvelle infrastructure.

Une enquête a été ouverte suite au dépôt de plainte, et l'établissement travaille en collaboration avec l’ANSSI, l’ARS Bourgogne-Franche-Comté et l’Agence du numérique en santé pour gérer cette crise.

Par ailleurs, pour renforcer la sécurité du secteur, la Commission européenne a récemment lancé un plan d'action (doté de 30 millions d'euros) visant à créer des services d'alerte, de soutien et de réaction post-incident, via notamment l'agence l’agence européenne de cybersécurité (Enisa).

Source : L’Usine Digitale

Une cyberattaque majeure touchant des lycées publics des Hauts-de-France

Une cyberattaque par rançongiciel a frappé 80 % des lycées publics des Hauts-de-France, le vendredi 10 octobre. Les hackers réclamaient une rançon en échange de données sensibles. Bien que l'Environnement Numérique de Travail (ENT) n'ait pas été touché initialement, la Région a confirmé ultérieurement, le 16 octobre, que des données personnelles sensibles (concernant élèves, familles et personnels) avaient été dérobées.

Les élèves et enseignants sont actuellement contraints de travailler en mode dégradé, sans pouvoir utiliser le matériel informatique (ordinateurs, photocopieurs connectés) ou se connecter au réseau de l'établissement, ce qui exige une réadaptation complexe et immédiate des cours

Aucune date de retour à la normale n’a été pour le moment communiquée par la collectivité.

Le gang russe Qilin a été officiellement identifié par la Région comme l'auteur de l'attaque par rançongiciel. Ce groupe de cybercriminels a revendiqué sur le dark web avoir dérobé plus d'un téraoctet de données sensibles, comprenant notamment des copies de cartes d'identité, des passeports, des CV et des relevés de notes. Ce n'est pas la première fois que Qilin agit, le groupe ayant notamment été responsable l'année dernière d'une attaque contre Synnovis (société réalisant des analyses de sang et transfusions pour le compte du système de santé publique du Royaume-Uni (NHS), ayant indirectement conduit au décès d'un patient.

Plus récemment, le 15 octobre, Qilin a également revendiqué avoir ciblé la commune d'Elne, située dans les Pyrénées-Orientales et comptant 9000 habitants.

Source : L’Usine Digitale

Je télécharge le guide des bonnes pratiques RGPD d'Apave

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème