Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

EDIT : Merci à Matthieu qui m'a envoyé la preuve ! Amazon.fr vient d'envoyer un email à ses utilisateurs pour confirmer que ce changement arrive bien en France à compter du 25 mars 2026. L'option permettant de restreindre les achats auprès de vendeurs tiers pour les articles de vos listes sera supprimée. Donc c'est plus une hypothèse, c'est confirmé... faites le ménage dans vos wishlists MAINTENANT.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, c'est confirmé pour la France au 25 mars, alors prenez les devants et prévenez votre influenceur préféré de faire le switch.

Source

Cet article a été réalisé en collaboration avec ONLYOFFICE

Pas besoin de confier ses données aux géants de la tech pour être productif et efficace : ONLYOFFICE propose des solutions clés en main pour les particuliers, collectivités, associations et entreprises qui souhaitent créer, éditer, réviser ou partager des documents de manière fiable et sécurisée.

Cet article a été réalisé en collaboration avec ONLYOFFICE

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Une société ne peut faire valoir une atteinte à la vie privée de ses salariés pour contester une saisie effectuée par l’Autorité de la concurrence.

La chambre criminelle de la Cour de cassation l’énonce dans un arrêt du 13 janvier 2026, réitérant une décision de 2024.

Le requérant avait fait l’objet d’une visite et saisie en novembre 2022, comme d’autres entreprises. Il s’agissait de rechercher des preuves de pratiques anticoncurrentielles dans le secteur de l’approvisionnement laitier.

Le pourvoi en appel avait été infructueux. La Cour avait exclu toute application du RGPD à la saisie de données personnelles dans le cadre de telles opérations. Plus précisément, dès lors que le juge des libertés et de la détention a donné son aval à la démarche, qu’il en contrôle la réalisation et qu’elle est susceptible d’un recours en cassation. Ces conclusions se fondaient cependant sur une jurisprudence de 2011, ce qui ouvrait une brèche potentielle.

L’argument a en tout cas été invoqué en cassation : cette jurisprudence ne pouvait être appliquée au RGPD, puisqu’elle concernait la loi telle qu’elle était avant la transposition du règlement (intervenue en 2018).

En se référant à son arrêt de 2024, la Cour de cassation a de fait rejeté l’argument. Et elle a donc ajouté que seul le salarié peut contester une saisie portant atteint à la vie privée ou aux données personnelles. Il est effectivement le seul titulaire des droits que le RGPD garantit en la matière.

À consulter en complément :

Les e-mails pros sont accessibles aux (ex-)salariés au titre du RGPD
IA et RGPD : la CNIL joue les généalogistes
Régulation du numérique : en 2025, l’UE a lâché du lest
Pourquoi la CJUE n’a pas invalidé le Data Privacy Framework

Illustration © alphaspirit – Shutterstock

The post Face aux saisies, une société ne peut invoquer les droits RGPD de ses salariés appeared first on Silicon.fr.

L’autorité de régulation frappe fort en ce début d’année. Suite à une intrusion massive survenue en octobre 2024 dans les systèmes d’information du groupe Iliad, la Commission nationale de l’informatique et des libertés (CNIL) inflige une amende d’un montant total de 42 millions € aux opérateurs Free Mobile (27 millions € ) et Free (15 millions €).
Retour sur les faits. En octobre 2024, un attaquant s’infiltre dans le système d’information des deux sociétés compromettant les données personnelles de 24 millions de contrats d’abonnés. Les données exposées incluaient notamment des IBAN pour les clients disposant d’abonnements auprès des deux entités simultanément.

L’ampleur de l’incident suscite plus de 2 500 plaintes d’abonnés et déclenche un contrôle approfondi de la CNIL qui identifie plusieurs manquements graves au Règlement général sur la protection des données (RGPD), chaque société étant tenue responsable du traitement des données de ses propres clients.

Des failles de sécurité élémentaires

La formation restreinte de la CNIL, organe compétent pour prononcer les sanctions, constate aussi l’absence de mesures de sécurité fondamentales qui auraient pu compliquer l’attaque. Les enquêteurs relèvent notamment que la procédure d’authentification pour accéder aux réseaux privés virtuels (VPN) des deux sociétés, utilisés pour le télétravail des employés, présentait des faiblesses importantes en termes de robustesse.

Par ailleurs, les dispositifs de détection des comportements anormaux sur les systèmes d’information se sont révélés inefficaces. La CNIL a jugé que ces mesures n’étaient pas adaptées au volume et à la sensibilité des données traitées par les deux opérateurs.

La commission reconnait cependant qu’ils ont renforcé leur niveau de sécurité en cours de procédure et leur impose d’achever la mise en œuvre de ces nouvelles mesures sous trois mois.

Une communication insuffisante auprès des victimes

Le régulateur pointe également du doigt les lacunes dans la communication auprès des clients. Si Free et Free Mobile ont déployé un dispositif d’information à deux niveaux (courriel initial puis numéro vert et service dédié), le courriel envoyé aux abonnés ne contenait pas toutes les informations obligatoires prévues par l’article 34 du RGPD.

Selon la CNIL, ces omissions empêchaient les victimes de comprendre directement les conséquences de la violation et les mesures de protection qu’elles pouvaient adopter pour limiter les risques.

Free Mobile épinglée pour conservation excessive de données

Un troisième manquement est retenu spécifiquement contre Free Mobile concernant la durée de conservation des données. Au moment du contrôle, l’opérateur n’avait pas mis en place de procédures permettant de trier et supprimer les données des anciens abonnés une fois leur conservation devenue inutile.

La CNIL a établi que Free Mobile conservait des millions de données d’abonnés sans justification pendant des durées excessives, en violation de l’article 5 du RGPD. L’opérateur a depuis initié un tri pour ne conserver que les données nécessaires au respect des obligations comptables pendant dix ans, et a supprimé une partie des données conservées de manière excessive. La société dispose de six mois pour finaliser cette opération de purge.

Image : © Cnil 

The post RGPD : la Cnil inflige une amende de 42 millions € à Free et Free Mobile appeared first on Silicon.fr.