Le RGPD évolue vite, et l’actualité du numérique ne cesse de bousculer les enjeux de conformité. Cybersécurité, intelligence artificielle, plateformes internationales, sanctions records… comment rester à jour sans y passer des heures ?

Chaque mois, la Minute RGPD vous livre le condensé des informations essentielles, analysées et contextualisées pour vous aider à faire de la conformité un levier, pas une contrainte.

Au programme, de cette édition de mai 2025 :

1. 1. Rapport annuel de la CNIL 2024 – Record de plaintes, sanctions en hausse
   2. Journée mondiale du mot de passe – 4 réflexes simples à adopter
   3. CNSS piratée – Les salaires de 2 millions de Marocains exposés
   4. « Starter Pack » – La tendance virale qui nourrit les IA de vos données personnelles
   5. L’Europe frappe fort – TikTok sanctionné à hauteur de 530 millions € 
   6. Meta passe à l’offensive – Vos données au service de l’IA
   7. IA Act sous influence américaine – Réguler ou céder ? 
   8. Fraude au SMS – “C’est le livreur” ou l’arnaque qui persiste
   9. Guide RGPD – Le kit indispensable pour les entreprises du e-commerce
   10. SantExpo 2025 – Nous y serons !

Bonne lecture !

1. Rapport annuel de la CNIL 2024 – Record de plaintes, sanctions en hausse

Comme chaque année, la CNIL dresse le bilan de ses actions. Contrôles, sanctions, sensibilisation, encadrement de l’IA… tout y passe. Le 29 avril 2025, elle a publié son rapport d’activité 2024.

Voici les 5 points clés à retenir.

Contrôles et sanctions en hausse :

La CNIL a mené 360 contrôles en 2024, avec une priorité aux secteurs sensibles (santé, éducation, collectivités locales, numérique). Résultats ? 87 sanctions prononcées, 33 mises en demeure, 55,2 millions d’euros d’amendes infligées.

➜ Les motifs récurrents : gestion inadéquate des cookies, sécurité insuffisante des données, mauvaise gestion des droits des personnes, conservation excessive des données.

Record de plaintes : 15 350 plaintes en 2024.

Un record historique qui traduit une prise de conscience croissante des citoyens vis-à-vis de leurs droits.

➜ Les principales préoccupations : Usage commercial abusif des données, difficultés à exercer ses droits (effacement, opposition, accès), pratiques opaques des plateformes et acteurs numériques.

Explosion des violations de données :

La cybersécurité, point noir de l’année. La CNIL a reçu 5 629 notifications de violations de données (+20 %), avec 40 cas ayant concerné plus d’un million de personnes.

 ➜ Ces faits révèlent : des failles de sécurité non corrigées, des accès non autorisés via des identifiants compromis, une faible anticipation des cyberattaques côté sous-traitants.

Plus de pédagogie côté intelligence artificielle :

Avec l’essor des IA génératives, la CNIL s’est positionnée comme un acteur de référence sur l’éthique et la conformité.

 ➜ Ses actions en 2024 : Lignes directrices sur l’IA générative, accompagnement des startups et entreprises IA, participation active à la mise en œuvre du Règlement européen sur l’intelligence artificielle (RIA), attendu fin 2025.

Sensibilisation auprès des jeunes :

La CNIL renforce ses actions en faveur de la protection des mineurs. Des initiatives ciblées sur les réseaux sociaux, la protection contre le cyberharcèlement et l’éducation au consentement numérique.

 ➜ Ses actions : 210 interventions dans des établissements scolaires, 200 000 visiteurs sur ses contenus pédagogiques en ligne.

Découvrir le Rapport annuel de la CNIL 2024

Ce que les entreprises doivent retenir en 2025

• • Renforcez votre conformité : cookies, sécurité, droits des personnes, conservation des données.

• • Soyez réactif : mettez en place des processus clairs pour gérer les demandes RGPD.

• • Transparence obligatoire : mettez à jour votre politique de confidentialité (pub ciblée, profilage…).

• • Sécurisez vos systèmes pour éviter les violations de données.

• • Surveillez vos sous-traitants avec des audits réguliers.

• • Anticipez la régulation IA : évaluez les risques, documentez vos algorithmes, ajoutez-les au registre.

• • Mineurs ciblés ? Vérifiez l’âge, adaptez vos interfaces, limitez la collecte

 

2. Journée mondiale du mot de passe – 4 réflexes simples à adopter 

Chaque année, le 6 mai rappelle qu’un mot de passe n’est pas un simple code d’accès : c’est la première barrière de protection de votre identité numérique.

L’article 32 du RGPD impose aux responsables de traitement et sous-traitants de garantir un niveau de sécurité adapté aux risques.

En cas de fuite ou d’accès non autorisé lié à un mot de passe faible, l’entreprise peut être tenue responsable et sanctionnée par la CNIL.

Recommandations CNIL 2025

• • Activez l’authentification multifacteur (MFA) partout où c’est possible.

• • Ne forcez plus le changement régulier de mot de passe sans raison : cela affaiblit la sécurité.

• • Évitez les mots de passe simples ou réutilisés : privilégiez la longueur et l’imprévisibilité.

• • Utilisez des gestionnaires de mots de passe : bannissez les fichiers Excel et post-it.

Notre conseil pour les entreprises :

Sensibilisez régulièrement vos équipes à ces bonnes pratiques – la sécurité des mots de passe fait pleinement partie de la conformité RGPD.

 

3. CNSS piratée – Les salaires de 2 millions de Marocains exposés 

Le contexte

Imaginez un instant, vous ouvrez un fichier… et surprise : vous découvrez le salaire de votre patron, de vos collègues de travail, du PDG de Royal Air Maroc, et même de la fille du chef du gouvernement marocain.

C’est exactement ce qui s’est passé au Maroc le 8 avril dernier avec la plus grande fuite de données sociales de son histoire. Près de 2 millions de salariés et 500 000 entreprises ont vu leurs informations confidentielles exposées après une cyberattaque d’envergure contre la Caisse Nationale de Sécurité Sociale (CNSS).

Salaires, numéros de sécurité sociale, numéros de carte d’identité, coordonnées bancaires… Des milliers de fichiers ont été publiés sur une chaîne Telegram, accessibles à tous avant d’être effacés.

Derrière l’attaque, le groupe Jabaroot DZ, jusque-là inconnu, se revendique algérien et affirme avoir agi en représailles à un supposé harcèlement numérique marocain. Le gouvernement marocain parle d’un acte hostile et criminel, et la CNDP appelle à la plus grande vigilance, rappelant que l’accès ou la diffusion de ces données est illégal.

Ce scandale agit comme un signal d’alarme

Les infrastructures numériques critiques sont vulnérables. Une brèche de sécurité peut devenir une bombe à retardement, aux conséquences économiques, politiques et diplomatiques.

Le RGPD, un modèle à suivre ?

• • Cadre juridique dépassé : Le Maroc s’appuie encore sur la loi 09-08, adoptée en 2009, bien avant l’ère des cyberattaques massives.

• • Partenariats numériques menacés : Pour renforcer ses échanges avec l’Europe, une mise à niveau législative est indispensable.

• • Appel à l’alignement avec le RGPD : Omar Seghrouchni, président de la CNDP (Commision Nationnale de Contrôle de la Protection des Données) , souligne l’importance de devenir RGPD-compatible pour maintenir les flux business avec l’UE.

• • Opportunité stratégique : Pour toutes les entreprises, le RGPD peut devenir un levier de crédibilité et de compétitivité à l’international.

 

4. « Starter Pack » – La tendance virale qui nourrit les IA de données personnelles

La tendance « Starter Pack » explose : vous décrivez votre personnalité, vos habitudes, vos relations, et vous laissez une IA générer une image drôle ou stylisée de vous.
Mais pour cela, vous fournissez… énormément d’informations personnelles.

Exemples courants : « Fais mon starter pack RH : je m’appelle Raphaël, je m’occupe du recrutement dans une startup tech à Marseille, j’ai un chien et je bois que du café filtre. »

Sous ses airs inoffensifs, ce jeu social alimente des modèles d’intelligence artificielle avec des données très précises, souvent non maîtrisées.

Quels sont les risques ?

Profilage non consenti : L’IA croise vos infos perso — métier, localisation, habitudes, préférences — pour dresser un profil comportemental complet, souvent sans que vous ne le sachiez… ni l’ayez accepté.

Réutilisation des données pour l’entraînement : certaines IA conservent les prompts utilisateurs pour affiner leurs modèles, sans consentement clair.

Fuite ou exposition : Personne n’est à l’abri. En 2023, une fuite de logs sur ChatGPT a révélé des prompts privés. Ce que vous pensez être confidentiel… ne l’est pas toujours.

Effet miroir inversé : plus vous nourrissez une IA de vos détails, plus elle est capable de vous caricaturer ou de produire des contenus à votre image… sans votre contrôle.

Nos recommandations pour l’utilisation d’IA  

✔️Évitez de formuler des prompts trop personnels ou identifiants, surtout sur des outils gratuits ou peu transparents.

✔️ Si vous utilisez une IA pour un usage pro ou perso, préférez les services qui garantissent la non-conservation des prompts.

✔️ En entreprise, sensibilisez vos équipes : ce qui paraît ludique peut être une vraie fuite de données.

✔️ (Lisez les conditions d’utilisation des IA génératives, surtout les sections “utilisation des données” ou “training data”.)

 

5. L’Europe frappe fort – TikTok sanctionné à hauteur de 530 millions €

Le contexte

Le 2 mai 2025, l’autorité irlandaise de protection des données (DPC) a infligé à TikTok une amende record de 530 millions d’euros, assortie d’un délai de six mois pour se conformer au RGPD. Cette décision marque l’aboutissement d’une enquête ouverte en 2021.

Le motif ? Deux violations majeures du RGPD 

• • Transferts illégaux vers la Chine : TikTok a laissé les données d’utilisateurs européens accessibles depuis la Chine, sans aucune garantie de protection. Le RGPD exige pourtant un niveau de sécurité équivalent à celui de l’UE pour tout transfert hors Europe.

• • Un manque de transparence : Le RGPD impose une information claire sur les transferts de données. Or, la politique de confidentialité de TikTok est un véritable flou : aucune indication précise sur les pays concernés, aucune clarté sur les types de données transférées, et un contenu globalement incompréhensible pour l’utilisateur.

Pour couronner le tout ? TikTok aggrave son cas, en reconnaissant avoir fait de fausses déclarations pendant l’enquête.

Et ce n’est pas une première pour TikTok : 3 M€ d’amende par l’Italie (2020) – 750 000 € aux Pays-Bas (2021) – 345 M€ déjà infligés par l’Irlande (2023)

Un message clair : Cette sanction exemplaire confirme la volonté de l’Union européenne de faire respecter sa souveraineté numérique face aux plateformes internationales, et d’imposer des règles strictes pour garantir la protection des données des citoyens européens.

Ce qu’il faut retenir :

✔️ Informer clairement : Détaillez quelles données sont collectées, pour quelles finalités, avec qui elles sont partagées et combien de temps elles sont conservées. Une politique de confidentialité vague ne suffit plus.

✔️ Encadrer les transferts hors UE : Avant d’envoyer des données en dehors de l’Union européenne, assurez-vous que le pays destinataire garantit un niveau de protection adéquat. Sinon, mettez en place des clauses contractuelles types ou autres garanties.

✔️ Protéger les mineurs : Pour tout service accessible aux jeunes, obtenez un consentement parental clair pour les moins de 15 ans. Utilisez un langage accessible, limitez la collecte de données au strict nécessaire et appliquez des mesures de sécurité renforcées.

 

6. Meta passe à l’offensive – Vos données au service de l’IA

À partir du 27 mai 2025, Meta (Facebook, Instagram, WhatsApp) commencera à utiliser les données personnelles de tous ses utilisateurs pour entraîner ses modèles d’intelligence artificielle générative.

Cela inclut potentiellement photos, légendes, publications, messages privés, réactions et autres interactions, à des fins de développement de ses IA.

Le tout, sans consentement explicite, mais en invoquant la base légale de l’intérêt légitime. 

L’utilisateur devra refuser activement (opt-out) via un formulaire peu mis en avant.

Les régulateurs montent au créneau 

L’annonce a immédiatement déclenché l’alerte des autorités de protection des données, dont la CNIL (France), la DSB (Autriche) et la BfDI (Allemagne). L’association NOYB, dirigée par Max Schrems, a déjà déposé plainte, accusant Meta de contourner le consentement clair imposé par le RGPD.

En parallèle, le Règlement européen sur l’intelligence artificielle (RIA), en cours de finalisation, pourrait modifier la donne. Ce texte vise à encadrer l’usage de données personnelles dans l’entraînement des IA, en imposant des obligations renforcées de transparence. Il pourrait donc à terme interdire ce type de pratique

Les deux principales implications pour les entreprises 

• • Crise de confiance : En utilisant les plateformes Meta, les entreprises risquent de voir leurs interactions clients analysées et réutilisées, ce qui peut affecter la confiance des utilisateurs.
•  
  • Risque d’association : Rester sur Meta pourrait exposer les entreprises à des accusations de complicité indirecte si les régulateurs jugent ces pratiques non conformes au RGPD.

•  

Comment exercer votre droit d’opposition en tant que particulier :

Voici les liens pour empêcher l’utilisation de vos données personnelles :

• • Formulaire d’opposition pour Facebook

• • Formulaire d’opposition pour Instagram

• • Formulaire d’opposition pour WhatsApp

 

7. AI Act sous influence américaine – Réguler ou céder ? 

Les États-Unis font pression. 

Alors que l’AI Act européen s’apprête à entrer en vigueur, les États-Unis intensifient leurs pressions pour en alléger le contenu. En ligne de mire : les codes de conduite destinés à encadrer les modèles d’IA à usage général, comme ChatGPT ou Gemini.

Washington a officiellement demandé à la Commission européenne de supprimer ces codes, jugés trop contraignants, et propose de laisser les entreprises définir leurs propres règles. Une position soutenue par OpenAI, Meta, Microsoft et Google, qui plaident pour plus de souplesse.

Leur argument : trop de régulation freine l’innovation et étouffe l’économie.

L’Europe résiste.

Bruxelles reste ferme. Pour elle, l’objectif est clair : créer des cadres communs, transparents et applicables pour structurer, protéger et encourager une innovation durable, sans céder à la dérégulation.

L’AI Act entrera progressivement en vigueur à partir de 2025, avec des obligations renforcées en matière de transparence, gouvernance des risques, explicabilité et éthique de l’IA.

Affaire à suivre

8. Fraude au

SMS – “Bonjour, c’est le livreur” ou l’arnaque qui persiste

« Bonjour Julien, je suis le livreur. Le colis ne rentrait pas dans la boîte aux lettres. Merci de choisir un point relais via ce lien. »

Vous l’avez sûrement reçu. Peut-être même plusieurs fois par jour.

Une arnaque bien rodée.

Un SMS qui semble banal, poli, personnalisé, presque rassurant. Qui tombe parfois au bon moment : On attend un colis, on est pressé, distrait. Alors on clique. On arrive sur un faux site, parfaitement crédible, qui demande un petit paiement pour « reprogrammer la livraison ».

Et là, sans s’en rendre compte, on donne : nos coordonnées bancaires, nos données personnelles, un accès à notre téléphone…

Résultat : vol de données, infection mobile, usurpation d’identité.

Ces attaques sont massives, ciblées, et redoutablement bien ficelées, grâce à des données personnelles déjà volées, et à des techniques de phishing de plus en plus sophistiquées.

Tout le monde est concerné. Peu importe l’âge, le niveau de vigilance ou la familiarité avec le numérique.

Avis aux entreprises : votre image aussi est une cible

Les cyberattaques de type « faux livreur » ne visent pas que les particuliers. Elles détournent votre marque, abusent de votre réputation et exploitent vos données clients.

Voici quelques réflexes indispensables pour limiter les dégâts :

Surveillez l’usage de votre nom dans les campagnes de phishing — votre marque peut être utilisée sans que vous le sachiez.

Sécurisez vos bases de données, y compris celles confiées à vos sous-traitants.

En cas de fuite, informez rapidement les personnes concernées et la CNIL si nécessaire.

Renforcez vos contrats avec vos prestataires logistiques : imposez-leur des clauses strictes sur la sécurité des données.

Chez Dipeeo, on vous aide à anticiper ce type de risque : audit, conformité RGPD, gestion de crise, sensibilisation des équipes — on sécurise vos données, mais aussi votre réputation.

 

9. Guide RGPD – Le kit indispensable pour les entreprises du e-commerce

Entreprise du e-commerce, ce guide est fait pour vous. 

Les 7 bonnes pratiques RGPD incontournables à appliquer sans tarder.

Tous les documents juridiques essentiels pour être en conformité.

Des astuces pratiques pour simplifier vos démarches et éviter les erreurs classiques

Télécharger le guide

 

10. SantExpo 2025 – Nous y serons ! 

Prochain rendez-vous : SantExpo

21 au 23 mai 2025
Paris Expo Porte de Versailles – Pavillon Startup 

Expert santé : Avec plus d’1/3 de nos clients dans ce secteur, nous vous accompagnons pour :

Garantir votre conformité RGPD
Réduire les risques de violations de données
Renforcer la confiance de vos patients et partenaire

Ne tardez plus ! Inscrivez-vous gratuitement et venez échanger avec nous. On a hâte de vous rencontrer ! 

A la prochaine pour une nouvelle Minute RGPD.