TFMB Consulting

🔒 la CNIL sanctionne IQVIA d'une amende de 5 M€ en raison d'une pseudonymisation insuffisante

La CNIL a infligé une amende de 5 millions d’euros à IQVIA OPERATIONS FRANCE (délibération SAN-2026-008, 26/05/2026) pour des manquements liés à la gestion de données de santé pseudonymisées.

📊 En cause : deux entrepôts (LRX et EMR) alimentés par des milliers de pharmacies et médecins, contenant des données sur plusieurs dizaines de millions de personnes (année de naissance, prescriptions, diagnostics, etc.).

⚖️ Une décision structurante : la CNIL rappelle que la pseudonymisation ne vaut pas anonymisation pour le détenteur des clés de réidentification. Une nuance cruciale, car 102 opérateurs en France utilisent la même architecture technique. Chaque acteur, en tant que contrôleur initial, doit désormais appliquer le RGPD à l’ensemble de son système, y compris les données pseudonymisées.
💡 Les enseignements clés :
✔️ Mise en conformité sous 6 mois (astreinte de 10 000 € par jour en cas de re**rd).
✔️ 5 manquements techniques identifiés : information insuffisante, droit d’opposition inopérant, absence d’authentification multifacteur, etc.
✔️ Impact sectoriel : pharmaceutiques, assureurs, recherche publique… tous concernés.
🚨 À surveiller :

Mars 2029 : entrée en vigueur du volet "usage secondaire" de l’Espace européen des données de santé (EEDS).
2027 : publication attendue des lignes directrices EDPB sur la pseudonymisation.
Une décision qui redéfinit les contours de la conformité pour les DSI et CTO. Et vous, comment gérez-vous la pseudonymisation dans vos projets ? 🤔

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🔍 Souveraineté numérique : l’École polytechnique montre l’exemple… et les enjeux juridiques à ne pas négliger

L’École polytechnique suspend sa migration vers Microsoft 365, une décision historique pour la souveraineté numérique française 🛡️. Au cœur du débat : la protection des données sensibles (notamment en Zones à Régime Restrictif) et le respect du droit européen, souvent mis à mal par l’extraterritorialité des lois américaines (CLOUD Act, FISA).

3 conseils juridiques pour les acteurs publics :
✅ Vérifiez la conformité RGPD : Les solutions cloud américaines (comme Microsoft 365) sont régulièrement pointées du doigt pour des violations du RGPD (ex : décision de la DSB autrichienne en 2026). Un audit préalable est indispensable.
✅ Appliquez la loi française : L’article L123-4-1 du Code de l’éducation impose aux établissements de privilégier les logiciels libres quand ils répondent aux besoins. Une obligation souvent oubliée, mais opposable juridiquement.
✅ Anticipez les risques du CLOUD Act : Toute donnée hébergée par un acteur américain peut être accessible aux autorités US, même hors de leur territoire. Une incompatibilité structurelle avec les enjeux de souveraineté.

Cette affaire révèle un écart croissant entre les ambitions de l’État (réduire la dépendance technologique) et les pratiques des marchés publics. Pourtant, des alternatives françaises et européennes existent. La transition est possible, mais elle exige une volonté politique et organisationnelle.

Et vous, votre établissement a-t-il évalué ces risques ? Partagez vos retours ! 🚀

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🔍 Vérification d’âge en ligne : entre protection des mineurs 🧒 et risque pour vos données 🔒

La France s’apprête à franchir une étape clé en interdisant l’accès aux réseaux sociaux 📱 aux moins de 15 ans dès septembre 2026. Mais derrière cette mesure, se pose une question cruciale : comment vérifier l’âge sans compromettre la vie privée des utilisateurs ? 🤔

Une étude américaine, menée par des chercheurs du Georgia Institute of Technology et de l’Université de Californie à Irvine, met en lumière les ⚠️ failles des systèmes de vérification d’âge. Prenons l’exemple de Yoti, un outil utilisé par des géants comme Meta, TikTok ou OnlyFans. Contrairement à l’image d’un barman 🍺 vérifiant une pièce d’identité avant de la rendre, ce système transmet des données sensibles (photo faciale 📷, adresse IP 🌐, empreinte numérique 🔑) à un réseau de sous-traitants : services bancaires 💳, géolocalisation 📍, courtiers en données.
Même si Yoti dément partager des données biométriques, les chercheurs soulignent que les informations restent accessibles à des tiers, comme Stripe, qui voit automatiquement quel site l’utilisateur tente de consulter.

Un risque avéré pour la confidentialité 🛡️
Ces pratiques ne sont pas sans conséquence : Yoti a déjà été sanctionné en Espagne ⚖️ pour violation du RGPD concernant les données biométriques. Pourtant, la France envisage d’adopter des solutions similaires, en s’appuyant sur des outils comme France Identité 🆔, les opérateurs télécoms 📶 (qui connaissent l’âge de leurs abonnés), ou même l’IA 🤖 pour estimer l’âge.

Mais ces méthodes soulèvent des interrogations :
✅ Fuite de données 🚨 : Comment éviter que des informations personnelles ne fuient vers des acteurs non régulés ?
✅ Fin de l’anonymat 🕵️‍♂️ : La généralisation du contrôle d’identité en ligne remet en cause un droit fondamental.
✅ Transparence 🔍 : Les outils actuels sont souvent fermés (propriétaires), alors que l’UE travaille sur un prototype en open source 🔓 basé sur des preuves cryptographiques (ZKP), censé certifier la majorité sans révéler la date de naissance.

Un débat nécessaire 🗣️
Entre protection des mineurs 🛡️ et respect des libertés numériques 🌍, le choix est complexe. La Commission européenne mise sur son portefeuille d’identité numérique pour 2026 📅, mais la route est encore longue. En attendant, la France devra trancher : faut-il sacrifier l’anonymat pour sécuriser l’accès aux réseaux sociaux ? ⚖️
Et vous, quel équilibre trouvez-vous entre sécurité et vie privée ? 💭

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🔍 Consultation publique sur les SIA à haut risque 🔍

La Commission européenne lance une consultation publique sur les lignes directrices du règlement IA (AI Act), pour clarifier le périmètre des systèmes d’intelligence artificielle « à haut risque ». Ces SIA, soumis aux obligations les plus strictes, devront garantir :

✅ Qualité des données d’entraînement
✅ Gestion continue des risques
✅ Traçabilité des décisions
✅ Supervision humaine effective
✅ Documentation technique et analyse d’impact sur les droits fondamentaux

📌 Deux catégories concernées :
1️⃣ Les SIA intégrés comme composants de sécurité (machines, dispositifs médicaux, équipements industriels…).
2️⃣ Les cas d’usage listés en Annexe III : affectation scolaire, tri des demandes de logement social, gestion des infrastructures critiques, détection de fraude, vidéosurveillance intelligente, biométrie, services d’urgence, processus électoraux, recrutement et RH.

⚠️ Responsabilité : Même en cas de sous-traitance, l’organisation reste responsable de son SIA. Une base européenne répertoriera ces systèmes.

🗓️ Calendrier :

- 2 décembre 2027 : Entrée en vigueur pour la plupart des SIA à haut risque.
- 2 août 2028 : Échéance pour les composants de sécurité dans des produits réglementés.

Une étape clé pour concilier innovation et protection des droits fondamentaux ! 💡

Voici le lien de la consultation : https://digital-strategy.ec.europa.eu/en/consultations/targeted-consultation-draft-guidelines-classification-high-risk-artificial-intelligence-systems

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🚨 Cybersécurité : Fuite de données de l’Agence du service civique

Quelques semaines après la fuite de données de l’ANTS, c’est au tour de l’Agence du service civique d’être touchée par une cyberattaque 💻. L’incident, confirmé le 6 mai 2026, a exposé des données personnelles sur sa plateforme de formation : état civil, coordonnées et informations de connexion.

L’Agence a réagi rapidement en :
✅ Notifiant la CNIL et les utilisateurs concernés
✅ Engageant des investigations pour contenir la situation
✅ Préparant une plainte auprès des autorités compétentes

Pourtant, des zones d’ombre persistent : nombre de victimes, nature de la faille, durée d’exposition des données… et un délai de trois semaines avant l’information des personnes impactées.

Un contexte inquiétant 📉
Cet incident s’ajoute à une série d’attaques contre des services publics :
- ANTS (15 avril 2026)
- France Travail (quelques mois plus tôt)

Face à cette recrudescence, le gouvernement a annoncé un plan d’urgence de 200M€ pour :
🔍 Auditer les systèmes
🛡️ Renforcer la détection
🤖 Investir dans l’IA et la cryptologie post-quantique

La création de l’Autorité Ariane (fusion de la DINUM et de la DITP) marque aussi une volonté de mieux structurer la réponse. L’ANSSI, elle, reste le chef d’orchestre de la cybersécurité, comme l’a rappelé Vincent Strubel.

La question reste entière : comment mieux protéger nos données dans un monde de plus en plus connecté ? 🤔

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

📊 Rapport annuel 2025 de la CNIL : Bilan et actions marquantes

Chaque année, la CNIL publie son rapport d’activité pour faire le point sur ses missions essentielles : 🛡️ informer et protéger le public, 🤝 accompagner les professionnels, 🚀 innover pour le numérique de demain et ⚖️ contrôler et sanctionner les manquements au RGPD.

En 2025, l’institution a fait face à des défis majeurs :
📈 +10 % de plaintes (20 150), dont 1 900 liées à des violations de données.
💰 487 M€ d’amendes (record), avec 259 décisions rendues dont 83 sanctions.
🔍 6 167 violations notifiées, principalement dues à des piratages.
Pour 🛠️ accompagner les professionnels, la CNIL a lancé 7 consultations publiques (véhicules connectés, santé, logement social…) et publié des fiches pratiques sur des sujets comme les caméras « augmentées » ou les listes scolaires. Elle a aussi accompagné 6 projets innovants dans la silver économie et traité 539 demandes d’autorisations en santé.

Côté 🔒 cybersécurité, 30 % des sanctions concernent des manquements en sécurité. En 2026, la CNIL y consacrera 50 % de ses contrôles, avec un focus sur les collectivités et les secteurs sensibles.

Enfin, la CNIL s’engage pour une 🤖 IA responsable : elle prépare l’application du RIA (règlement sur l’IA) et publie des ressources pour les développeurs.

💡 Le saviez-vous ?
FantomApp 📱, l’appli pour les ados sur les réseaux sociaux, a été lancée en 2025.
266 actions de sensibilisation ont touché 20 000 personnes.
La protection des données est l’affaire de tous. La CNIL continue d’agir avec détermination pour un numérique sécurisé, innovant et respectueux de la vie privée.

👉 Et vous, quels enjeux de protection des données vous semblent prioritaires en 2026 ? Partageons nos réflexions !

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🤖 L’ de l’UE : un compromis en demi-teinte

Après une nuit de négociations intenses, le Parlement européen et le Conseil ont trouvé un accord provisoire sur l’AI Omnibus 📜. Objectif : simplifier les règles pour l’IA en Europe. Mais le texte, bien que salué par ses négociateurs, divise.
✅ Avancées notables :

Exemptions élargies pour les PME et les small/mid caps (jusqu’à 200M€ de CA), un levier pour les scale-ups européennes 💡.
Lutte renforcée contre les contenus illicites générés par IA (pédopornographie, deepfakes non consentis) ⚖️.
Flexibilité accrue pour corriger les biais dans les systèmes d’IA, y compris ceux à haut risque.

⚠️ Limites et défis :

Les chevauchements avec d’autres réglementations (médical, jouets, etc.) seront résolus a posteriori via des actes d’exécution… un processus souvent lent ⏳.
Les bacs à sable réglementaires pour l’IA, initialement prévus pour août 2026, sont repoussés à 2027.
Seuls les produits de machinerie bénéficient d’exemptions claires, un résultat bien moins ambitieux qu’espéré.

🔮 Et maintenant ?
L’attention se tourne vers le Digital Omnibus, deuxième pilier de la stratégie IA de l’UE. Mais là aussi, les débats font rage : comment concilier protection des données et innovation ? Le statu quo semble l’emporter, au risque de freiner la compétitivité européenne.
L’UE avance, mais le chemin vers un cadre clair, équilibré et opérationnel reste semé d’embûches. Et vous, comment voyez-vous l’avenir de la régulation IA en Europe ?

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

👓🔍 Les lunettes connectées : une révolution technologique sous surveillance
La CNIL sonne l’alerte : les lunettes connectées, comme les Ray-Ban Meta Smart Glasses ou les futurs modèles d’Apple, soulèvent des enjeux majeurs en matière de vie privée. Ces dispositifs, capables de filmer, enregistrer ou analyser l’environnement en temps réel grâce à l’IA, transforment la manière dont les données personnelles sont captées. Leur caractère discret, portable et permanent rend difficile la détection d’une captation, posant des défis juridiques et éthiques.

Selon un sondage de la CNIL, 67 % des Français estiment que ces lunettes représentent une menace pour la vie privée, notamment en raison du non-respect du droit à l’image. 81 % jugent même que le risque de captation non consentie y est plus élevé qu’avec un smartphone. Pourtant, 78 % reconnaissent leur utilité pour les personnes en situation de handicap.

Face à ces risques (deepfakes, traitement automatisé des données, etc.), la CNIL annonce un plan d’action : analyses juridiques, échanges avec ses homologues européens et sensibilisation.

Elle recommande aux utilisateurs de privilégier la transparence, désactiver les fonctionnalités intrusives et respecter l’intimité d’autrui.

Une réflexion essentielle à l’ère de l’hyperconnectivité : comment concilier innovation et protection des données ?

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🔍 LinkedIn, RGPD et accès aux données : un débat qui s’intensifie
LinkedIn refuse de révéler gratuitement qui consulte votre profil, invoquant la protection de la vie privée… mais propose cette information contre 29,99 €/mois via son abonnement Premium. 💼 Une pratique qui interroge, surtout depuis la plainte déposée le 5 mai 2026 par l’association NOYB (fondée par Max Schrems) auprès de l’autorité autrichienne de protection des données.

📜 Pourquoi cette plainte ?
NOYB estime que LinkedIn viole l’article 15 du RGPD, qui garantit à chacun un droit d’accès gratuit à ses données personnelles. Pourtant, un utilisateur ayant demandé ses données en octobre 2025 n’a reçu aucune information sur les visiteurs de son profil. LinkedIn justifie ce refus par la protection de la vie privée des autres membres… mais propose ces mêmes données à ses abonnés Premium.

⚖️ Un argument contesté
Si la vie privée des visiteurs était vraiment en jeu, pourquoi la lever pour les abonnés payants ? NOYB souligne une contradiction : soit LinkedIn peut partager ces données (et doit alors les fournir gratuitement), soit il ne peut pas… et ne devrait pas les monétiser. La plainte cible uniquement les visiteurs ayant autorisé l’affichage de leur identité dans leurs paramètres.

💡 Et après ?
La procédure s’annonce longue, LinkedIn étant sous la compétence de l'Autorité irlandaise de protection des données (DPC). Rappelons que le réseau a déjà écopé d’une amende de 310 M€ en 2024 pour des manquements au RGPD.
Un débat qui questionne l’équilibre entre modèle économique et droits des utilisateurs. 🤔

Cette pratique vous semble-t-elle équitable ?

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme

🔍 L'Irlande enquête sur Shein pour ses transferts de données vers la Chine

La Data Protection Commission (DPC) irlandaise a annoncé, le 5 mai 2026, l’ouverture d’une enquête formelle contre Infinite Styles Services Co. Limited, la filiale européenne de Shein. En cause : les transferts de données personnelles d’utilisateurs européens vers la Chine, un sujet déjà au cœur des préoccupations réglementaires.
🌍 Un enjeu RGPD majeur

L’enquête porte sur trois axes clés :
✅ Le respect des principes fondamentaux du RGPD (licéité, transparence, minimisation des données, etc.).
✅ Les obligations d’information envers les utilisateurs lors de la collecte de leurs données.
✅ Les conditions encadrant les transferts vers des pays tiers, comme la Chine, qui ne bénéficie pas d’une décision d’adéquation de l’UE.

📜 Un contexte complexe
Sans décision d’adéquation, les transferts vers la Chine ne sont autorisés que si des garanties alternatives (comme les Clauses Contractuelles Types) sont mises en place. Or, le droit chinois impose aux entreprises de coopérer avec les autorités locales, rendant difficile la démonstration d’une protection équivalente au RGPD.

⚖️ Un précédent lourd : TikTok
En mai 2025, la DPC avait infligé une amende de 530 millions d’euros à TikTok pour des manquements similaires. Shein, dont le siège européen est en Irlande, pourrait subir des sanctions allant jusqu’à 4 % de son chiffre d’affaires mondial.

💡 À suivre
Cette enquête s’inscrit dans une dynamique de renforcement de la conformité RGPD en Europe. Les entreprises doivent plus que jamais veiller à la sécurité et à la transparence de leurs flux de données.

📢 Pour suivre toutes les infos, abonnez-vous dès maintenant.

✉️ Pour recevoir notre newsletter : https://forms.tfmbconsulting.com/r/GxRpXz

👉 Recevez un audit IA en moins de 5 minutes : https://forms.tfmbconsulting.com/aiact-votre-systeme