En 2025, la CNIL a confirmé une tendance de fond :les sanctions ne visent pas uniquement des manquements techniques isolés, mais des pratiques opérationnelles du quotidien, visibles, répétées — et pourtant évitables.
Le RGPD reconnaît le consentement comme l’une des six bases légales de traitement des données personnelles (art. 6).En théorie, il pourrait sembler suffisant : si une personne accepte qu’on utilise ses données biométriques (ex. empreinte digitale, reconnaissance faciale), pourquoi cela poserait-il problème ?
L’Union européenne a adopté en 2024 le règlement sur l’intelligence artificielle (AI Act). C’est le premier texte au monde qui vise à réguler de manière transversale l’usage de l’IA, avec une application progressive jusqu’en 2027.
Entré en vigueur le 11 janvier 2024, le Data Act devient applicable à partir du 12 septembre 2025.
Cet été, une cyberattaque d’envergure a visé Clinical Diagnostics NMDL, un laboratoire chargé des dépistages du cancer du col de l’utérus aux Pays-Bas. Entre le 3 et le 6 juillet 2025, des hackers, affiliés au groupe Nova, ont accédé à une quantité massive de données sensibles. Selon les premières informations, les données personnelles de près de 485 000 femmes ayant participé à ces dépistages seraient concernées : noms, adresses, dates de naissance, numéros de sécurité sociale (BSN), résultats d’analyses, ainsi que certaines données de professionnels de santé.
Ces dernières années, les deepfakes se sont imposés comme l’une des menaces les plus préoccupantes de l’ère numérique. Capables d’imiter un visage ou une voix avec un réalisme saisissant, ces contenus synthétiques ne sont plus réservés aux milieux technologiques : ils touchent désormais des particuliers, parfois anonymes, dont l’image ou la voix est reproduite et diffusée sans leur accord.
L’évolution rapide des technologies de l’information, conjuguée à la généralisation du télétravail et à l’interconnexion permanente des systèmes, a profondément transformé le paysage des risques numériques.
