Protection des données: main touchant un circuit imprimé avec un cadenas lumineux.

Les Actualités RGPD du mois de juin 2025

A la Une27/06/2025

Découvrez dans notre article un condensé des informations récentes dédiées aux risques numériques pour ce mois de juin 2025 : dispositif de vidéosurveillance, double authentification, démarchage téléphonique et les dernières cyberattaques recensées sont au cœur de l’actualité. 

Picto newsletter Les principales actualités du mois

Nos experts en protection des données ont réalisé pour vous un condensé des actualités récentes dédiées aux risques numériques, en RGPD et en cybersécurité. Au sommaire de ce mois de juin 2025 :

  1. Interdiction du dispositif de vidéosurveillance près des écoles
  2. La double authentification obligatoire d’ici à 2026
  3. Les dernières informations relatives au démarchage téléphonique
  4. Procédures simplifiées par la CNIL : 10 sanctions prononcées
  5. Les dernières cyberattaques connues

1. Interdiction du dispositif de vidéosurveillance près des écoles pour la Mairie de Nice

Élèves avec sacs à dos marchant vers l'école.
Élèves avec sacs à dos marchant vers l'école.

La CNIL a imposé au maire de la ville de débrancher le dispositif de vidéosurveillance devant les écoles de la commune. La ville multiplie l’utilisation des algorithmes dans la gestion des flux d’images.

Depuis 2020, les images reçues des caméras filmant les écoles sont analysées et une alerte se déclenche lorsqu’un véhicule y stationne plus de 5 minutes. Cela permet aux patrouilles de se rendre sur les lieux directement.

Ainsi, le 20 mai 2025, la CNIL a demandé à la commune de désactiver ce dispositif car celui-ci ne respecte pas le principe de “réduire l’analyse des personnes sur la voie publique au strict minimum”.

Selon le maire, la décision est disproportionnée et peut mettre en danger la sécurité des enfants. Il a donc décidé de saisir le Conseil d'État et de lancer une pétition pour modifier le cadre réglementaire afin de rebrancher le dispositif pour septembre.

La ville dispose également de dispositifs similaires, comme par exemple pour lutter contre le stationnement sur les pistes cyclables ou pour repérer les dépôts sauvages de déchets qui encombrent la voie publique et collecte les plaques d’immatriculation qui déposent ces déchets. 

Je souhaite être contacté(e)

2. La CNIL va rendre obligatoire la double authentification d’ici à 2026

Beaucoup de cybermenaces se sont accrues ces dernières années et des solutions sont développées pour y faire face. Pour cela, la CNIL a publié une recommandation relative à l’authentification multifacteur (dite “MFA”) afin de mieux protéger ses données personnelles.

Découvrir notre accompagnement en RGPD

La double authentification est déjà obligatoire dans certains secteurs tels que :

  • Les services bancaires et paiements en ligne (imposée par la Directive sur les Services de Paiement 2 de 2019),
  • Le secteur de la santé (avec les services comme Pro Santé Connect)
  • Le secteur public et la défense.

Pour rappel, la double authentification est une méthode de sécurité exigeant qu’un utilisateur prouve son identité de deux façon différentes pour accéder à son compte ou à un service. (Une couche de sécurité supplémentaire). Cette méthode de double authentification empêche le pirate de se connecter au compte de l’utilisateur sans le second facteur d’authentification. Par exemple, il suffit de se connecter à votre compte avec un identifiant et un mot de passe habituel (“facteur de connaissance”) , puis le système demande une seconde preuve d’identité soit par un code envoyé par SMS ou une notification sur votre téléphone mobile qui demande de valider l’opération (“facteur de possession”).

L’objectif de la recommandation publiée par la CNIL est de permettre une sécurisation des données par le biais d’une solution sécurisée et d'encourager les fournisseurs à intégrer le principe de Privacy by design (principe qui intègre la protection des données dès la conception du produit). Elle est destinée aux professionnels de tous secteurs - y compris public - ainsi qu’aux DPO et aux Responsables Sécurité des Systèmes d’Information (RSSI).

Ainsi, dès 2026, les accès à distance aux bases de données à grande échelle vont devoir disposer d’une double authentification pour permettre l’accès au produit ou service, en supplément du mot de passe habituel de connexion. L’autorité a estimé que 80% des violations de données auraient pu être évitées si cette mesure de sécurité était mise en œuvre. 

Télécharger notre cartographie des données personnelles

3. Les dernières informations sur le démarchage téléphonique

Une proposition de loi a été déposée venant renforcer la protection des consommateurs face aux démarchages téléphoniques incessants. L’objectif étant d’interdire le démarchage téléphonique sauf si le consommateur a donné son consentement au préalable. De plus, les numéros de téléphone fixes n'apparaîtront plus dans les annuaires.

La loi “Hamon” de 2014 et la loi “Naegelen” de 2020  encadrent à ce jour le démarchage téléphonique et visent à lutter contre les appels frauduleux. Ces lois viennent renforcer l’opposition a posteriori du consommateur et reposent sur 3 règles :

  • celle relatives aux consommateurs avec l’inscriptions sur la liste BLOCTEL : ce dispositif est encore peu utilisé (9% des consommateurs y sont inscrits) et ne protège pas suffisamment des appels récurrents ;
  • celle relative aux horaires et fréquences d’appels ;
  • et celle dédiée au contenu des appels.

Le projet de loi en cours vise à modifier ce principe de consentement a posteriori. A partir de 2026, les professionnels vont devoir recueillir le consentement préalable et explicite des consommateurs qui souhaitent être démarchés. Ils devront prouver que le consentement a été recueilli. Toutefois, cette interdiction ne s’applique pas si l’appel relève d’un contrat en cours. Les professionnels du secteur de la vente et de la livraison alimentaire ne seraient pas concernés par cette interdiction. En revanche, en ce qui concerne le compte professionnel de formation et la rénovation énergétique, c’est une interdiction absolue de démarchage. 

Une amende de 182 917 euros a été prononcée à l’encontre d’une SAS (Société par Actions Simplifiée) pour avoir démarché les personnes inscrites sur la liste d’opposition au démarchage téléphonique BLOCTEL. 

4. Procédures simplifiées par la CNIL : 10 sanctions prononcées 

Marteau de juge sur un bureau avec des documents.
Marteau de juge sur un bureau avec des documents.

L’autorité de contrôle a prononcé 10 nouvelles sanctions depuis le début de l’année, pour :

  • absence de minimisation des données,
  • aucune information des personnes concernées,
  • durées de conservation excessives,
  • manque de coopération ainsi que des manquements relatifs à la sécurité et violation de données.

Le cumul des sanctions s’élèvent à 104 000 d’euros.

6 sanctions concernent la surveillance des salariés, soit par vidéosurveillance soit par géolocalisation des véhicules des salariés. Par principe, aucune surveillance des salariés ne doit être effectuée par l’employeur. La surveillance injustifiée des salariés à leur poste de travail porte atteinte au principe de minimisation des données. De plus, les durées de conservation des images ou des données de géolocalisation étaient excessives.

De plus, une société a été également sanctionnée pour ne pas avoir mis en place des mots de passe robustes et une gestion défaillante des droits et habilitations d’accès au dispositif de vidéosurveillance.

Enfin, un site de rencontre a été sanctionné pour ne pas avoir notifié une violation de données à la CNIL ni informé les personnes concernées. 

Comment créer un mot de passe robuste ? 

Téléchargez notre infographie disponible !

Picto newsletter FOCUS SUR LES DERNIERES CYBERATTAQUES PUBLIEES

1. Un acteur majeur de l’habillement sportif victime d’une fuite de données personnelles.

La marque a indiqué le 23 mai 2025 avoir été victime d’une fuite de données personnelles. L’attaque a ciblé un prestataire externe chargé de la relation client du groupe. Dans un communiqué, la firme a expliqué qu’un “tiers non autorisé” a mis la main sur ces informations “par l’intermédiaire d’un prestataire de service client tiers”.

La marque a assuré que les informations bancaires et les mots de passe n’ont pas été compromis. En revanche, la fuite concernait des données telles que les adresses électroniques, numéros de téléphone et autres éléments d’identifications.

Malgré la réassurance que les données financières et mots de passe des utilisateurs n’ont pas été affectés, la perspective d’un accès non autorisé à des informations privées soulève des interrogations sur la sécurité et la mise en conformité des processus externalisés. 

2. Une maison de joaillerie victime d’une cyberattaque

L’enseigne a rejoint la liste croissante des marques de luxe prises pour cibles par les cybercriminels sur ces derniers mois.

La maison a indiqué en mai dernier à sa clientèle avoir subi une cyberattaque. Une faille de sécurité survenue dans ses systèmes informatiques suite à une attaque a permis à des acteurs malveillants d’accéder temporairement à certaines informations internes. “Aucun élément bancaire, mot de passe ou identifiant de paiement n’a été exposé”, assure la maison dans son communiqué officiel. En revanche, les noms, adresses mails et pays de résidence de plusieurs clients ont été compromis.

Ces cyberattaques à répétition auprès des grandes entreprises et groupes font surgir des inquiétudes quant à leur cybersécurité et aux moyens mis en place. 

Découvrir notre accompagnement en cybersécurité

3. La nouvelle menace qui infiltre les navigateurs Chrome

Depuis le début de l’année 2024, une campagne de cyberattaques utilise des modules d’extension déguisés pour infiltrer les navigateurs de Google Chrome. Ces outils permettent par exemple d’avoir une gestion bancaire ou d’installer un VPN. Une fois installées, ces extensions peuvent intercepter des sessions, collecter des cookies, exécuter du code à distance et rediriger les utilisateurs vers des sites dangereux.

Ces extensions sollicitent des permissions anormalement étendues via leur fichier “manifest.json”, élément clé dans la configuration de toute extension Chrome. Avec ce fichier, elles vont pouvoir obtenir un accès total aux sites visités par l’utilisateur, pouvant interagir avec les pages web, intercepter des données ou injecter des contenus malveillants.

Google a réagi en supprimant plusieurs des extensions signalées depuis le mois de mai 2025. Google a renforcé les vérifications automatisées mais les auteurs de logiciels parviennent à contourner ces filtres en apparaissant avec un nouveau nom ou une signature différente. 

Découvrez notre filiale OPPIDA,
Experte en cybersécurité

4. Fuite de données massive pour une grande Université

En juin 2025, l’Université a été victime d’une cyberattaque ayant exploité une faille du système d’information. 32 000 comptes ont été exposés avec des données sensibles et des numéros de sécurité sociale, des bulletins de paie, des RIB et des justificatifs d’embauche, pour des salariés actuels et d’anciens salariés, dont les données sont toujours archivées.

Les cybercriminels ont exploité la faille de sécurité pour infiltrer le logiciel de gestion des ressources humaines.  Toutefois, selon l’Université, la cyberattaque n’a pas empêché la continuité des services. Une plainte a été déposée et une déclaration auprès de la CNIL a été réalisée. De plus, un numéro vert a été mis en place pour répondre aux salariés.

Depuis plusieurs années, de nombreuses universités font l’objet de cyberattaques. En 2021, l’université de Versailles avait notamment subi un rançongiciel. Les universités sont aujourd’hui des cibles majeures pour les cyber attaquants, de par les recherches scientifiques réalisées et les données stratégiques détenues pouvant intéresser les Etats. 

Téléchargez notre cartographie
des données personnelles

Notre accompagnement dédié aux risques numériques

Le groupe Apave et ses filiales dédiées aux risques numériques sont en capacités de vous accompagner dans la gestion de vos données personnelles et en cybersécurité, sur vos projets smartdata et IA. 

Découvrez nos solutions :
Main tenant un smartphone avec interface de connexion et empreinte digitale, devant un ordinateur portable, illustrant la cybersécurité et l'authentification.
La cybersécurité : un enjeu clé pour assurer la pérennité de votre organisation !
La cybercriminalité se développe depuis plusieurs années. Les cyberattaques ont notamment connu un pic de croissance et ont été multipliées par 4 au cours de l’année 2020. Crise sanitaire internationale, modification de l’organisation de travail ou encore guerre Ukraine / Russie, sont autant d’éléments contextuels qui favorisent le développement de ce type d’attaques en France et à travers le monde.
Découvrir
Protection des données personnelles et stratégiques (RGPD)
La gestion des données est aujourd’hui au cœur des stratégies des entreprises. Elles sont présentes tout au long de la chaîne de valeur pour l’ensemble des organisations, qu'elles soient privées ou publiques. Il est de la responsabilité de la structure qui les possède de mettre un place les processus organisationnels et techniques afin de protéger ces données et assurer le droit des personnes. 
 
Découvrir

Découvrez nos filiales spécialisées : 

Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Risques numériques

Oppida

Audit, conseil, évaluations et recherche en cybersécurité
Oppida est l'une des filiales spécialisées de notre groupe, se consacrant exclusivement à la cybersécurité. En tant qu'entreprise axée sur la protection des données et des systèmes informatiques, Oppida joue un rôle crucial dans le paysage numérique en offrant des solutions de sécurité avancées et en aidant nos clients à faire face aux menaces croissantes de la cybercriminalité. Grâce à une équipe d'experts hautement qualifiés et à des technologies de pointe, Oppida s'engage à fournir des services de prévention, de détection et de réponse aux incidents de sécurité, assurant ainsi la confidentialité, l'intégrité et la disponibilité des informations sensibles de nos clients. La réputation d'Oppida repose sur sa capacité à anticiper les tendances émergentes en matière de cybersécurité et à fournir des solutions adaptées aux besoins spécifiques de chaque client. En collaborant étroitement avec nos autres filiales et en restant à l'avant-garde des développements technologiques, Oppida continue de renforcer notre position en tant que leader dans le domaine de la protection numérique.
Découvrez le site
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
Risques numériques

LSTI

Organisme d’évaluation à la conformité (OEC) en cybersécurité
LSTI est une société spécialisée dans les services de conseil et d'audit en sécurité informatique. Forte d'une expertise reconnue dans le domaine de la sécurité des systèmes d'information, LSTI apporte des solutions personnalisées pour évaluer, prévenir et remédier aux risques liés à la sécurité informatique. Grâce à une équipe de professionnels qualifiés et expérimentés, LSTI offre des services d'analyse des vulnérabilités, de tests d'intrusion, de gestion des incidents et d'accompagnement dans la mise en place de politiques de sécurité. La société travaille en étroite collaboration avec ses clients pour comprendre leurs besoins spécifiques et leur fournir des recommandations pertinentes afin de renforcer leur posture de sécurité. En fournissant des services de haut niveau et en restant à la pointe des dernières avancées technologiques, LSTI contribue à garantir la protection des données et des systèmes informatiques de ses clients, renforçant ainsi leur confiance et leur tranquillité d'esprit.
Découvrez le site
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
Risques numériques

SixFoisSept

Société spécialisée en SmartData et intelligence artificielle
SixFoisSept est une société spécialisée dans la DataScience et l’intelligence Artifcielle au profit de décisions éclairées. Nous concevons des outils qui restent simples à appréhender tout en tirant pleinement partie des algorithmes de Machine Learning. SixFoisSept accompagne de grands groupes dans le secteur de la santé, de l’assurance, de l’aviation notamment dans le cadre de la surveillance basée sur le risque RPBO/RBI.
Découvrez le site

[Guide] Les bonnes
pratiques RGPD

Fermer

Découvrez notre guide pratique pour vous accompagner dans la mise en place de votre conformité RGPD !

Je télécharge

Sur le même
thème