Le 1er avril 2026, l’Autoriteit Persoonsgegevens (AP), l’autorité néerlandaise de protection des données personnelles, a infligé une amende de 100 millions d’euros à MLU B.V., l’opérateur européen de l’application de taxi Yango. Ce montant place cette décision parmi les sanctions RGPD les plus élevées jamais prononcées en Europe pour des transferts illicites vers un pays tiers. La décision ouvre un précédent juridique sans équivalent : c’est la première fois qu’une autorité de protection des données européenne se prononce formellement sur des transferts de données personnelles vers la Russie. Pour les entreprises françaises qui utilisent des prestataires entretenant des liens opérationnels avec des États non reconnus comme adéquats par l’Union européenne, les implications sont immédiates et concrètes.
La décision intervient dans un contexte où la pression réglementaire en Europe atteint un niveau inédit. La CNIL a reçu 6 167 notifications de violations de données en 2025, soit une hausse de 10 % par rapport à l’année précédente, et a prononcé près de 487 millions d’euros de sanctions au cours du même exercice. L’heure n’est plus à la tolérance des défaillances structurelles dans la gouvernance des données transfrontalières.
Yango et Yandex : L’Application au Coeur du Débat Européen
Yango est une application de transport avec chauffeur exploitée en Europe centrale et du Nord par MLU B.V., société néerlandaise. Anciennement connue sous le nom de Ridetech, la structure est liée au groupe russe Yandex, géant technologique moskoutien comparable à Google dans son pays d’origine. Yango opère dans plusieurs marchés européens, notamment en Finlande, en Norvège, en Lettonie, en Serbie et dans plusieurs pays du Moyen-Orient et d’Afrique.
Le service attire des utilisateurs par sa simplicité et ses tarifs compétitifs. En arrière-plan, les données collectées, incluant les trajets, les localisations en temps réel, les conversations entre passagers et chauffeurs, ainsi que les documents d’identité, transitent par une infrastructure dont des composantes essentielles sont hébergées en Russie. C’est précisément ce flux de données que l’AP a jugé contraire au RGPD.
Le dossier est emblématique d’une problématique plus large : comment évaluer la conformité RGPD d’entreprises dont l’architecture technique et organisationnelle repose sur des entités établies dans des pays présentant des risques élevés d’accès des autorités publiques aux données ? La Russie, qui ne dispose pas d’une autorité de protection des données indépendante au sens du droit européen, se trouve au coeur de cette question.
Chronologie : Cinq Ans d’Enquête Avant la Sanction
L’affaire Yango illustre la lenteur des procédures en matière de protection des données, mais aussi leur caractère inexorable. Le processus a débuté en 2020-2021, lorsque les autorités de protection des données finlandaise et norvégienne ont alerté l’AP de Pays-Bas sur des transferts potentiellement illicites de données d’utilisateurs Yango vers la Russie. Ces signalements ont déclenché une investigation formelle conduite par l’AP en tant qu’autorité chef de file, MLU B.V. étant établie aux Pays-Bas.
L’enquête a nécessité plusieurs années de collecte de preuves techniques et juridiques. L’AP a analysé l’architecture de traitement des données, les flux inter-entités, les contrats conclus entre MLU B.V. et ses partenaires russes, ainsi que les mesures techniques et organisationnelles censées garantir un niveau de protection équivalent à celui du RGPD. Le 1er avril 2026, après un processus de coopération avec d’autres autorités de contrôle européennes, l’AP a rendu sa décision finale : 100 millions d’euros d’amende, assortis d’une injonction de cesser immédiatement tous les transferts vers la Russie.
L’autorité finlandaise de protection des données a confirmé publiquement qu’il s’agissait de la première décision d’une autorité européenne évaluant des transferts de données vers la Russie, soulignant son caractère historique pour l’ensemble de l’Espace économique européen.
Les Défaillances Techniques au Coeur de la Décision de l’AP
L’AP a identifié plusieurs défaillances cumulatives qui ont rendu les transferts illicites, malgré l’utilisation formelle de clauses contractuelles types (CCT). Trois manquements techniques ressortent particulièrement de la décision.
En premier lieu, l’AP a établi que des clés de chiffrement ont été stockées sur des serveurs en Russie pendant une certaine période. Cette configuration permettait à l’entité russe d’accéder aux données chiffrées, annulant de facto la protection que le chiffrement est censé garantir. Le stockage des clés sur le même territoire que l’entité accédant aux données rend le chiffrement inopérant comme mesure de protection complémentaire dans le cadre d’un transfert international.
En second lieu, l’AP a constaté que la même personne physique exerçait des fonctions de direction à la fois au sein de MLU B.V. et de l’entité russe du groupe. Cette double casquette créait un risque pratique d’accès aux données, indépendamment de la localisation nominale des clés de chiffrement. La gouvernance formelle ne suffisait pas à empêcher un accès effectif des entités russes aux données européennes.
En troisième lieu, l’AP a conclu que les entités russes n’étaient pas en mesure de démontrer l’existence de protections effectives contre l’accès des autorités publiques russes aux données personnelles des utilisateurs européens. Ce constat s’inscrit dans la logique de la jurisprudence Schrems II de la Cour de justice de l’Union européenne : l’exportateur de données doit s’assurer que la protection accordée dans le pays tiers est essentiellement équivalente à celle garantie dans l’EEE. La Russie ne satisfait pas à ce critère.
Les Clauses Contractuelles Types : Un Rempart Insuffisant Sans Analyse Substantielle
L’un des enseignements juridiques les plus importants de la décision de l’AP concerne l’utilisation des clauses contractuelles types. MLU B.V. avait formellement mis en place des CCT pour encadrer ses transferts vers la Russie. L’AP a jugé que leur utilisation était fondamentalement incorrecte.
Le groupe avait retenu le module CCT applicable aux relations responsable du traitement – sous-traitant, alors que la nature réelle de la relation entre MLU B.V. et son entité russe correspondait à une relation entre coresponsables du traitement. Ce n’est pas une question de détail juridique : les obligations imposées à un sous-traitant sont fondamentalement différentes de celles qui s’appliquent à un coresponsable. L’utilisation du mauvais module a rendu les CCT inopérantes comme mécanisme de transfert valable.
“MLU B.V. a transféré des données personnelles vers la Russie via des clauses contractuelles types inadaptées à la nature réelle de la relation entre les entités. L’entité russe devait être considérée comme coresponsable du traitement, et non comme sous-traitant, ce qui rend les clauses utilisées inefficaces en tant que mécanisme de transfert licite”, a conclu l’AP dans son communiqué officiel d’avril 2026.
Cette décision illustre un phénomène croissant dans l’application du RGPD : les autorités de contrôle passent au-delà de la forme juridique pour examiner la substance des mécanismes de transfert. L’existence d’un document signé ne suffit plus. L’AP a démontré qu’une analyse technique et organisationnelle approfondie est indispensable pour valider un mécanisme de transfert vers un pays tiers à risque élevé.
“L’AP a démontré que l’utilisation formelle des clauses contractuelles types n’offre pas une protection automatique. Les entreprises doivent s’assurer que le modèle de transfert retenu correspond à la réalité opérationnelle de la relation entre les entités, et pas seulement à une architecture juridique sur le papier”, ont analysé les juristes du cabinet Alston Privacy dans leur revue de la décision publiée en mai 2026.
Tableau Comparatif : Les Plus Grandes Amendes RGPD en Europe
| Entreprise | Autorité | Amende | Année | Motif principal |
|---|---|---|---|---|
| Meta Platforms | DPC (Irlande) | 1,2 milliard € | 2023 | Transferts illicites vers les États-Unis |
| Amazon | CNPD (Luxembourg) | 746 millions € | 2021 | Publicité ciblée sans consentement valable |
| WhatsApp / Meta | DPC (Irlande) | 225 millions € | 2021 | Transparence insuffisante |
| TikTok | DPC (Irlande) | 345 millions € | 2023 | Données des mineurs |
| Yango / MLU B.V. | AP (Pays-Bas) | 100 millions € | 2026 | Transferts illicites vers la Russie |
| Opérateur télécom (France) | CNIL (France) | 45 millions € | 2025 | Authentification et supervision défaillantes |
| Amadeus | AEPD (Espagne) | 18 millions € | 2026 | Réutilisation de données sans consentement |
Sources : décisions officielles des autorités de protection des données concernées. La ligne Yango est la première décision européenne portant sur des transferts vers la Russie.
La Russie Face au RGPD : Un Pays Tiers Sans Garantie Adéquate
La Russie n’a jamais fait l’objet d’une décision d’adéquation de la Commission européenne. Cela signifie que les transferts de données personnelles depuis l’EEE vers la Russie ne peuvent être effectués qu’en vertu de mécanismes de transfert appropriés, comme les CCT, assortis d’une analyse d’impact spécifique démontrant un niveau de protection équivalent.
Or, la décision de l’AP met en lumière une réalité structurelle : la législation russe offre aux autorités publiques un accès étendu aux données personnelles, sans indépendance institutionnelle de l’organe de contrôle. La loi fédérale russe sur les données personnelles (Fédérale Loi n° 152-FZ) ne garantit pas un niveau de protection comparable au RGPD, notamment en ce qui concerne les pouvoirs de surveillance des agences gouvernementales.
Dans ce contexte, l’AP a ordonné à MLU B.V. de cesser immédiatement tout transfert de données personnelles vers la Russie. Cette injonction place l’entreprise face à un choix opérationnel radical : soit restructurer entièrement son architecture technique pour éliminer tout flux de données vers des entités russes, soit cesser ses activités dans les marchés de l’EEE.
Pour les entreprises françaises, la leçon est directe. Tout prestataire de services numériques présentant des liens organisationnels ou techniques avec la Russie, la Chine, ou tout autre pays ne disposant pas d’une décision d’adéquation de l’UE, constitue un risque de conformité significatif. La due diligence dans la chaîne d’approvisionnement de données n’est plus optionnelle.
CNIL 2025 : La France Face à une Vague Croissante de Violations
La décision de l’AP sur Yango s’inscrit dans un contexte français particulièrement préoccupant. Le rapport d’activité 2025 de la CNIL, publié en mai 2026, dresse un tableau alarmant de l’état de la protection des données en France.
La CNIL a reçu 6 167 notifications de violations de données en 2025, soit une augmentation de 10 % par rapport à 2024. Sur les deux dernières années civiles, environ 80 violations ont touché au moins un million de personnes chacune en France. Le piratage informatique est à l’origine d’environ la moitié des violations notifiées, tandis que près de 80 % des violations majeures de 2024 ont été rendues possibles par l’absence d’authentification multifacteur.
“Nous consacrerons 50 % de nos contrôles et actions répressives en 2026 à la sécurité des données, avec une attention particulière aux secteurs traitant de grandes quantités de données sensibles ou hautement personnelles”, a indiqué la CNIL dans ses orientations publiées avec son rapport annuel 2025.
Les administrations publiques françaises représentent un cinquième des violations de données dans le pays, ce qui illustre la vulnérabilité persistante du secteur public. Cette tendance est d’autant plus inquiétante que la plateforme Tchap a été compromise en juin 2026, exposant les données de 73 467 agents de l’État, et que France Titres (ANTS) avait subi une intrusion affectant 11,7 millions de dossiers quelques mois plus tôt.
En matière de sanctions, la CNIL a prononcé 83 sanctions en 2025, sur la base de 20 150 plaintes reçues et de 323 investigations ouvertes. Les amendes totales s’élèvent à près de 487 millions d’euros pour l’exercice 2025, dont une sanction de 45 millions d’euros contre un opérateur de télécommunications français pour des défaillances dans la supervision des agences partenaires et dans ses processus d’authentification.
Tableau : Bilan de la CNIL pour l’Exercice 2025
| Indicateur | Données 2025 | Comparaison 2024 |
|---|---|---|
| Violations de données notifiées | 6 167 | +10 % par rapport à 2024 |
| Part liée au piratage | ~50 % | Stable |
| Violations touchant 1 M+ personnes (2023-2024) | 80 au total | Tendance en hausse |
| Violations liées à l’absence d’AMF (2024) | ~80 % des cas majeurs | Problème structurel |
| Plaintes reçues | 20 150 | Hausse continue |
| Investigations ouvertes | 323 | Augmentation significative |
| Mesures correctives prononcées | 259 | +20 % estimé |
| Sanctions prononcées | 83 | Niveau historique |
| Amendes totales | ~487 millions € | Hausse marquée |
| Part des administrations publiques dans les violations | 1 violation sur 5 | Persistant |
Source : Rapport d’activité 2025, CNIL, publié en mai 2026.
L’Onde de Choc Réglementaire dans l’Union Européenne en 2026
La décision sur Yango n’est pas un événement isolé. Le premier semestre 2026 a été marqué par plusieurs décisions majeures qui, prises ensemble, signalent un durcissement structurel de l’application du RGPD dans l’ensemble de l’Union européenne.
En Espagne, l’AEPD a clôturé une procédure transfrontalière contre Amadeus, société spécialisée dans les solutions technologiques pour l’industrie du voyage, en prononçant une amende de 18 millions d’euros (réduite à 14,4 millions d’euros après paiement volontaire). Le reproche central portait sur l’agrégation des données de réservation des voyageurs en profils utilisés pour le développement de produits, sans transparence adéquate ni base juridique valable au sens de l’article 6 du RGPD. Amadeus avait réutilisé des années de données de réservation issues des compagnies aériennes et des agences de voyage à des fins que les passagers n’avaient pas anticipées.
Au Royaume-Uni, l’ICO a infligé une amende de 963 900 livres sterling (environ 1,1 million d’euros) à deux entreprises dont les systèmes ont été compromis lors d’une attaque par hameçonnage. La violation, restée indétectée pendant près de deux ans, a conduit à la publication sur le dark web de 4,1 téraoctets de données personnelles, incluant des coordonnées bancaires, des numéros de sécurité sociale et des informations de santé appartenant à plus de 633 000 personnes. L’ICO a sanctionné l’absence de détection rapide autant que la compromission initiale.
Ces décisions illustrent un basculement dans les priorités des régulateurs : la sécurité opérationnelle des systèmes de traitement des données est désormais aussi scrutée que le respect des exigences formelles de consentement et de transparence.
Ce que la Décision Yango Change pour les Entreprises Françaises
Pour les directions juridiques et les DPO des entreprises françaises, la décision de l’AP sur Yango impose une révision des pratiques de cartographie des flux de données et de gestion des transferts transfrontaliers. Plusieurs obligations concrètes découlent de cette décision.
Auditer les Relations Avec les Sous-traitants à Liens Extra-EEE
Les transferts de données vers des pays tiers ne se produisent pas toujours de façon directe et visible. Un éditeur de logiciels établi en Europe peut avoir des équipes de développement ou d’administration en Russie, en Biélorussie, ou dans d’autres États sans décision d’adéquation. Ces transferts indirects sont aussi soumis aux exigences du chapitre V du RGPD. La décision Yango confirme que la localisation formelle du contractant en Europe ne suffit pas à protéger une entreprise française si des données remontent vers des entités tierces dans des pays à risque.
Les DPO doivent désormais inclure dans leurs audits de sous-traitance une question systématique sur les flux de données vers des pays non adéquats, en remontant au moins deux niveaux dans la chaîne de sous-traitance. Le registre des activités de traitement (RAT) doit refléter ces flux avec précision.
Vérifier le Bon Module de CCT Appliqué
La décision Yango rappelle que les CCT ne sont pas un outil passe-partout. Le choix du bon module (responsable-responsable, responsable-sous-traitant, sous-traitant-sous-traitant) doit correspondre à la réalité fonctionnelle de la relation entre les entités. Une analyse juridique et technique préalable est indispensable. L’utilisation du mauvais module expose l’entreprise à une sanction même si un contrat a bien été signé.
Par ailleurs, les mesures techniques et organisationnelles complémentaires exigées en cas de transfert vers un pays à risque élevé, notamment la gestion stricte des clés de chiffrement et la gouvernance des accès, doivent faire l’objet d’une documentation robuste et régulièrement actualisée.
Réactions du Marché et Analyse des Experts
La décision de l’AP a suscité des réactions contrastées dans l’écosystème juridique et technologique européen. Du côté des régulateurs, la cohérence du signal envoyé est saluée.
“C’est la première décision d’une autorité européenne portant sur des transferts de données vers la Russie. Elle établit un précédent juridique pour l’ensemble de l’Espace économique européen et clarifie les critères applicables à des pays pour lesquels il n’existe aucune décision d’adéquation”, a confirmé l’autorité finlandaise de protection des données dans un communiqué officiel publié après la décision néerlandaise.
La décision soulève également des questions pratiques sur l’avenir des applications grand public ayant des origines russes ou chinoises sur le marché européen. Des acteurs comme Yango mais aussi d’autres plateformes dont l’infrastructure ou la maison-mère se situent en dehors de l’EEE devront démontrer de façon convaincante que leurs flux de données ne transitent pas vers des juridictions à risque. La charge de la preuve repose sur l’exportateur de données, pas sur le régulateur.
Du côté des cabinets d’avocats spécialisés en droit des données, l’interprétation est univoque : la décision Yango renforce l’obligation de conduire des évaluations d’impact sur les transferts (Transfer Impact Assessment, TIA) rigoureuses avant tout transfert vers la Russie ou vers d’autres pays présentant des risques systémiques d’accès gouvernemental aux données. “La décision de l’AP envoie un signal clair : la conformité formelle n’est plus suffisante. Les entreprises doivent démontrer que leurs transferts sont substantiellement protégés, pas seulement contractuellement encadrés”, ont souligné les analystes de Gibson Dunn dans leur revue de protection des données de juin 2026.
Sur les marchés financiers, aucune répercussion directe significative sur une entité cotée n’a été relevée, Yango n’étant pas une société indépendante listée en bourse. Toutefois, pour Yandex, dont des filiales opèrent encore dans certains marchés sous des structures distinctes, la décision constitue un avertissement supplémentaire sur la viabilité à long terme d’un modèle d’affaires construit sur des flux de données entre la Russie et l’Europe.
L’Affaire Yango dans le Contexte Géopolitique de 2026
La dimension géopolitique de la décision ne peut être ignorée. Depuis l’invasion de l’Ukraine par la Russie en février 2022, les transferts de données entre l’Europe et la Russie sont sous surveillance accrue. La décision de l’AP formalise ce que beaucoup d’experts anticipaient : les autorités de protection des données européennes ne peuvent ignorer le risque d’accès gouvernemental russe aux données d’utilisateurs européens.
La loi fédérale russe n° 374-FZ de 2016, dite loi Yarovaya, impose notamment aux opérateurs de communications de stocker les métadonnées pendant trois ans et le contenu des communications pendant six mois, et de fournir aux services de sécurité (FSB) l’accès aux clés de déchiffrement. Ce cadre légal est fondamentalement incompatible avec les garanties que le RGPD exige pour les transferts internationaux.
Dans ce contexte, la décision Yango s’inscrit dans une tendance de fond où la protection des données devient un instrument de politique étrangère et de souveraineté numérique. Les 64 % d’organisations qui intègrent désormais la géopolitique dans leur stratégie de gestion des risques cyber, selon le rapport du Forum économique mondial 2026, trouvent dans la décision Yango une confirmation concrète de cette approche.
Cinq Prédictions pour l’Application du RGPD en 2026-2027
La décision Yango marque un tournant dont les répercussions s’étaleront sur plusieurs années. Voici les évolutions les plus probables dans les 18 prochains mois.
- Multiplication des décisions sur les transferts vers la Chine : La Chine présente un cadre légal similaire à la Russie en matière d’accès gouvernemental aux données (notamment via la loi sur la sécurité des données de 2021 et la loi sur la protection des informations personnelles de 2021). Des investigations sont en cours dans plusieurs États membres sur des entreprises dont les prestataires ont des liens avec des entités chinoises. Une première décision majeure est attendue avant fin 2027.
- Hausse des amendes RGPD en France : La CNIL a annoncé consacrer 50 % de ses contrôles 2026 à la sécurité des données. Avec 6 167 violations notifiées en 2025 et un niveau d’amendes atteignant 487 millions d’euros, 2026 devrait établir un nouveau record, notamment dans les secteurs de la santé, de la finance et des télécommunications.
- Renforcement des exigences de TIA pour les outils SaaS : Les éditeurs de logiciels en mode SaaS dont les serveurs, équipes de support ou partenaires sont situés hors EEE seront soumis à des exigences de Transfer Impact Assessment de plus en plus détaillées. Les acheteurs publics et privés français incluront ces vérifications dans leurs appels d’offres.
- Pression réglementaire accrue sur les applications mobiles : Les applications mobiles grand public, qui collectent des localisations, des contenus de conversation et des données biométriques, constitueront une cible prioritaire des régulateurs européens. La combinaison entre RGPD et le règlement sur les marchés numériques (DMA) crée un cadre de contrôle renforcé pour les acteurs non-européens.
- Émergence d’un marché de la conformité aux transferts internationaux : La complexité croissante des obligations liées aux transferts transfrontaliers alimentera un marché de services juridiques, d’outils d’audit et de plateformes de gestion de la conformité. En France, les cabinets spécialisés en RGPD et les acteurs de la legal tech devraient connaître une croissance significative de leur activité dans ce segment.
Questions Fréquentes sur l’Amende Yango et les Transferts RGPD vers la Russie
Pourquoi Yango a-t-il été condamné à 100 millions d’euros ?
L’AP néerlandaise a sanctionné MLU B.V., l’opérateur européen de Yango, pour avoir transféré des données personnelles d’utilisateurs finlandais et norvégiens (chauffeurs et passagers) vers des entités en Russie en utilisant des clauses contractuelles types inadaptées à la nature réelle de la relation entre les entités. De plus, des clés de chiffrement étaient stockées en Russie, et la même personne exerçait la direction des entités néerlandaise et russe. La sanction de 100 millions d’euros a été prononcée le 1er avril 2026.
Qu’est-ce que Yango et quel est son lien avec Yandex ?
Yango est une application de taxi opérant en Europe centrale et du Nord, au Moyen-Orient et en Afrique. Son opérateur européen est MLU B.V. (anciennement Ridetech), une société néerlandaise liée au groupe russe Yandex, le moteur de recherche dominant en Russie. Yandex a entrepris ces dernières années de structurer ses activités internationales de façon plus indépendante, mais les liens organisationnels et techniques avec la Russie ont été au coeur de la décision de l’AP.
Quelles données ont été transférées vers la Russie ?
Les données transférées incluaient des scans de pièces d’identité, des données de localisation, des contenus de chat entre passagers et chauffeurs, ainsi que des numéros de sécurité sociale de chauffeurs finlandais et norvégiens. Ces catégories comprennent des données particulièrement sensibles dont la protection est renforcée sous le RGPD.
Les clauses contractuelles types protègent-elles suffisamment en cas de transfert vers la Russie ?
Non, selon la décision de l’AP. Les CCT ne constituent pas une protection automatique. Elles doivent être accompagnées d’une évaluation d’impact sur le transfert (TIA) démontrant que le niveau de protection dans le pays de destination est essentiellement équivalent à celui garanti dans l’EEE. La Russie ne satisfait pas à ce critère en raison de sa législation permettant un accès gouvernemental étendu aux données. De plus, le bon module de CCT doit être utilisé en fonction de la nature réelle de la relation entre les entités.
Comment la CNIL s’implique-t-elle dans ce type d’affaire ?
La CNIL peut mener ses propres investigations sur des transferts illicites de données depuis la France vers des pays tiers. Dans les affaires transfrontalières impliquant des entités établies dans plusieurs États membres, le système de guichet unique du RGPD désigne une autorité chef de file, en général celle de l’État membre d’établissement principal de l’entreprise. Les autres autorités, dont la CNIL, participent au processus de coopération et peuvent s’y opposer si elles estiment la décision insuffisante.
Quelles mesures une entreprise française doit-elle prendre après la décision Yango ?
Les étapes prioritaires sont : (1) auditer l’ensemble des sous-traitants et prestataires pour identifier ceux qui ont des liens opérationnels avec des pays non adéquats, notamment la Russie et la Chine ; (2) vérifier que le bon module de CCT est utilisé pour chaque transfert et que l’analyse TIA correspondante est à jour ; (3) s’assurer que les clés de chiffrement ne sont jamais stockées dans le pays de destination du transfert ; (4) documenter les mesures techniques et organisationnelles complémentaires ; (5) alerter la DPO et la direction juridique si un fournisseur présente un profil de risque similaire à celui de Yango.
Cette décision s’applique-t-elle aux transferts vers d’autres pays non adéquats ?
Oui. Les principes établis par l’AP dans la décision Yango s’appliquent à tout transfert vers un pays tiers ne bénéficiant pas d’une décision d’adéquation de la Commission européenne. Les pays concernés incluent notamment la Russie, la Chine, l’Inde (bien qu’en cours de processus d’adéquation), et de nombreux autres États dont la législation permet un accès gouvernemental aux données sans garanties comparables à celles du RGPD.
Couverture Connexe
Pour approfondir votre compréhension des violations de données et de la cybersécurité en France et en Europe, consultez nos analyses détaillées :
- Tchap Piraté : 73 467 Fonctionnaires et 13,5 Go de Données Exposés
- France Titres ANTS : 11,7 Millions de Dossiers Exposés
- FICOBA : 1,2 Million de Comptes Bancaires Piratés
- ShinyHunters Pirate Europa.eu : 350 Go Volés à la Commission Européenne
- Scattered Spider et DragonForce : M&S, Co-op et Harrods Perdent £500M
Sources officielles : décision officielle de l’AP (Autoriteit Persoonsgegevens), CNIL, Gibson Dunn Europe Data Protection Update juin 2026, Alston Privacy Analysis, Le Monde : le tsunami des fuites de données en France (mai 2026).
