Archives par mot-clé : sanctions

Banque, Cybersécurité, Justice

Le Royaume-Uni frappe Xinbi, plaque tournante crypto

Londres vise Xinbi, une plateforme chinoise de cryptomonnaies accusée d’alimenter fraude industrielle, blanchiment et exploitation forcée, en ciblant cette fois l’infrastructure financière qui soutient les réseaux criminels.

Le Royaume-Uni a placé Xinbi sous sanctions au titre de son régime international de défense des droits humains. La plateforme d’échange en langue chinoise est accusée d’avoir facilité des escroqueries massives en ligne et d’avoir profité de centres frauduleux en Asie du Sud-Est. Il s’agit du premier État à frapper directement cette interface crypto, présentée comme un maillon central d’un écosystème mêlant fraude sentimentale, arnaques à l’investissement, blanchiment et commerce de données volées. L’enjeu dépasse une entreprise isolée. Londres cherche désormais à couper les flux, à perturber les circuits de paiement et à affaiblir la logistique financière qui permet à ces réseaux transnationaux de survivre.

Une sanction pensée pour casser l’ossature financière

La décision britannique ne vise pas seulement une plateforme de plus dans l’univers opaque des cryptomonnaies. Elle cherche un point de pression précis, celui qui permet à des réseaux criminels d’encaisser, de déplacer et de recycler l’argent issu d’escroqueries mondiales. Dans sa désignation officielle, le gouvernement britannique affirme que Xinbi a « permis et tiré profit du fonctionnement de centres d’escroquerie en Asie du Sud-Est ». L’accusation est lourde, car elle place la plateforme au croisement de la fraude numérique et des violations graves des droits fondamentaux.

Stephen Doughty, ministre britannique chargé de l’Europe, de l’Amérique du Nord et des Territoires d’outre-mer, a résumé l’objectif politique de cette mesure. « Nos sanctions d’aujourd’hui envoient un message clair : nous ne permettrons pas que les Britanniques soient victimes de ces escroqueries odieuses ni ne tolérerons les violations flagrantes des droits de l’homme perpétrées dans ces centres d’escroquerie », a-t-il déclaré. Puis il a ajouté : « Nous devons maintenir la pression sur l’argent sale et ceux qui en profitent. »

Le ministère britannique des Affaires étrangères précise que le traitement imposé aux personnes présentes dans ces centres constitue une violation grave du droit à ne pas subir de traitements cruels, inhumains ou dégradants, ainsi que du droit à ne pas être réduit en esclavage, maintenu en servitude ou forcé à travailler. Le cadrage est essentiel. Londres ne présente pas Xinbi comme un simple intermédiaire technique, mais comme une pièce utile à une économie criminelle appuyée sur la contrainte humaine.

Le rapport de Chainalysis renforce cette lecture. La société décrit Xinbi comme un « nœud clé » d’un écosystème crypto vaste et structuré. La plateforme aurait traité plus de 19,9 milliards de dollars entre 2021 et 2025, soit environ 18,3 milliards d’euros, estimation obtenue sur une base indicative de 1 dollar pour 0,92 euro. Elle aurait agi comme une place de marché sous séquestre, mettant en relation des vendeurs de services illicites. Autrement dit, il ne s’agirait pas seulement d’un canal de transaction, mais d’une infrastructure de confiance au service d’activités clandestines.

News & alertes actualités cyber

Enquêtes, cyberveille avec le Service de veille ZATAZ, fuites, actus, et recevez nos infos par 📧 ou par ☎️.

Service de veille ZATAZ
WhatsApp
Google News
Autres


S’abonner à la Newsletter

 

Cambodge, travail forcé et logique industrielle de l’arnaque

L’un des points les plus sensibles du dossier concerne le parc n° 8, un complexe d’escroquerie à l’échelle industrielle au Cambodge. Le gouvernement britannique va plus loin et le présente comme la plus grande installation de ce type dans le pays, avec une capacité de 20 000 travailleurs sous contrat. Cette mention change l’échelle du récit. On ne parle plus d’escrocs dispersés derrière des écrans, mais de structures quasi industrielles, organisées comme des sites de production où l’arnaque devient une activité rationalisée.

La désignation de Xinbi souligne précisément son soutien à cet ensemble. En parallèle, Londres a sanctionné Legend Innovation Co, l’exploitant du parc n° 8, ainsi que deux responsables, Thet Li et Hu Xiaowei. Tous sont présentés comme liés au Prince Group, conglomérat décrit comme étant derrière de nombreux complexes comparables dans cet empire de l’escroquerie. Ici, le signal envoyé par les autorités est limpide : il ne suffit plus de poursuivre les exécutants, il faut remonter les chaînes de commandement, les opérateurs logistiques et les outils financiers.

Le nom de Chen Zhi, fondateur du Prince Group, apparaît dans cette mécanique. Selon les éléments fournis, il a été inculpé par des procureurs américains pour blanchiment d’argent en octobre dernier. Son entreprise est accusée d’avoir administré au Cambodge des complexes où des travailleurs et des victimes de traite étaient contraints de mener des escroqueries en ligne et de voler des milliards de dollars à des personnes situées aux États-Unis, en Europe et en Chine. Le texte précise aussi que Zhi a été arrêté au Cambodge en début d’année avant d’être extradé vers la Chine.

L’intérêt stratégique de la décision britannique tient à son angle. L’objectif affiché est d’isoler Xinbi « de l’écosystème crypto légitime », afin de perturber fortement ses opérations en réduisant sa capacité à envoyer et recevoir des transactions en cryptomonnaie. C’est une approche de renseignement financier autant qu’un geste diplomatique. Au lieu de ne viser que des individus, les autorités cherchent à casser la colonne vertébrale des réseaux, c’est-à-dire leurs moyens de circulation monétaire, leurs passerelles de paiement et leurs circuits de blanchiment.

Cybersécurité, Entreprise, Justice

Prospection politique : la CNIL sanctionne cinq candidats

En décembre 2025, la CNIL frappe cinq candidats des scrutins européens et législatifs 2024. Motif : des messages de campagne envoyés à des électeurs, sans respecter plusieurs exigences de protection des données.

La CNIL a prononcé en décembre 2025 cinq sanctions simplifiées contre des candidats aux élections européennes et aux législatives anticipées de 2024. Les contrôles, déclenchés après des signalements via un téléservice dédié, ont mis au jour des manquements liés à l’envoi de SMS, courriels ou courriers de prospection politique. Au total, 23 500 € d’amendes ont été infligés. La CNIL relève notamment l’incapacité à prouver la base légale du traitement, l’utilisation de données collectées pour d’autres finalités, une information incomplète des personnes, l’absence de mécanisme d’opposition, le défaut de réponse à des demandes de droits, et une faille de confidentialité par envoi sans « cci ».

Un observatoire des élections pour capter les dérives

L’épisode démarre pendant la séquence électorale de 2024, marquée par les européennes et des législatives anticipées. Pour canaliser les remontées du public, la CNIL a ouvert un téléservice, pensé comme un point d’entrée unique pour signaler des situations problématiques, dont la réception de messages de prospection politique. Le dispositif, présenté comme un « observatoire des élections », a servi de déclencheur opérationnel. Des citoyens y ont rapporté des SMS, des courriels ou des courriers perçus comme intrusifs, ou envoyés dans des conditions jugées irrégulières.

À partir de ces alertes, l’autorité a interrogé les candidats mis en cause sur la manière dont ils avaient géré les traitements de données liés à leurs envois. Le cœur du sujet n’est pas la communication politique en elle-même, mais la façon dont des informations personnelles ont été utilisées, et sécurisées, pour toucher des électeurs. Dans une campagne, la tentation est forte d’aller vite, d’externaliser, de réutiliser des fichiers existants ou de s’appuyer sur des circuits déjà prêts. C’est précisément là que la CNIL place son curseur : une campagne électorale n’est pas une zone de non-droit, et la mécanique de prospection doit rester compatible avec les règles de protection des données.

Les investigations ont débouché sur cinq sanctions financières prononcées via la procédure simplifiée. La somme totale des amendes atteint 23 500 €. Dit autrement, le dossier met en scène un volume limité de décisions, mais une diversité de défaillances. Et, en filigrane, une même question de gouvernance : qui maîtrise réellement la chaîne, depuis la collecte des données jusqu’au clic sur « envoyer » ?

Des manquements répétés, du consentement à la sécurité

Premier reproche, la difficulté, pour certains candidats, de démontrer que le traitement reposait sur une base légale. La CNIL rappelle que le candidat reste responsable, y compris s’il confie l’envoi à une société spécialisée. Externaliser l’exécution ne transfère pas l’obligation de conformité. Concrètement, les candidats doivent pouvoir établir soit que les destinataires ont accepté de recevoir ces messages, soit que les conditions permettant d’invoquer un intérêt légitime sont réunies, notamment en montrant que les personnes pouvaient raisonnablement s’attendre à être contactées. Or, les contrôles indiquent que certains n’ont pas été capables de fournir ces éléments, ce qui constitue un manquement à l’article 5-2 du RGPD. Sur le plan cyber, l’enjeu est simple : sans traçabilité, pas de preuve, et sans preuve, la conformité s’effondre au premier contrôle.

Deuxième manquement, l’usage de données pour un objectif différent de celui annoncé au départ. Un cas ressort nettement : l’un des candidats, professionnel de santé, a utilisé les numéros de téléphone de ses patients, collectés pour organiser les consultations et assurer le suivi médical, afin d’envoyer un SMS vantant sa candidature. La CNIL juge cet emploi incompatible avec la finalité initiale (article 5-1-b du RGPD). L’affaire illustre une dérive classique dans les environnements riches en données : la réutilisation opportuniste d’un fichier « disponible », sans reposer la question du pourquoi et du cadre. Dans une logique de renseignement, le point d’alerte est évident : lorsqu’une même personne cumule des rôles, l’accès à des données sensibles au travail peut devenir un levier d’influence en dehors de ce contexte.

Troisième reproche, l’information insuffisante des personnes. En prospection politique, la CNIL rappelle l’obligation de fournir l’ensemble des informations prévues par les articles 13 et 14 du RGPD. Le moment dépend de l’origine des données : à la collecte, ou dès le premier message si les données proviennent d’un tiers, par exemple des listes électorales, de sociétés spécialisées dans la revente de données, d’un listing de parti politique, ou d’autres canaux cités par l’autorité. Or, dans quatre cas sur cinq, les messages ou courriers contrôlés n’incluaient pas ces informations, ou seulement une partie. Cette lacune n’est pas un détail rédactionnel. Elle empêche l’électeur de comprendre pourquoi il est ciblé, par qui, et sur quel fondement. Pour une campagne, c’est aussi une erreur stratégique : l’opacité alimente la défiance et transforme un message de mobilisation en signal d’intrusion.

Quatrième manquement, l’absence de mécanisme d’opposition réellement utilisable. Deux candidats n’avaient prévu aucun dispositif permettant aux personnes de refuser la réception de nouveaux messages. La CNIL cite, à titre d’exemples, un « STOP SMS » ou un lien de désinscription. Ici, la logique est binaire : si l’opposition n’est pas simple, elle n’est pas effective, et le droit devient théorique. Dans une lecture cyber, c’est aussi une question de contrôle des flux : une campagne qui ne sait pas traiter les demandes d’opposition est une campagne qui perd la maîtrise de sa propre base, et augmente mécaniquement le risque de plaintes, de blocages et d’escalade contentieuse.

Cinquième point, le défaut de réponse à une demande d’exercice de droits. Un plaignant, destinataire d’un SMS de prospection, a demandé des explications, notamment sur la source de ses données et sur la base légale du traitement, et a également demandé l’effacement. Le candidat n’a pas répondu. La CNIL a sanctionné ce silence et a ajouté une injonction : répondre aux demandes. Ce volet, souvent traité comme un irritant administratif, est en réalité un test de maturité organisationnelle. Répondre suppose d’avoir documenté les entrées de données, les échanges avec d’éventuels prestataires, et la logique de conservation. Là encore, sans journalisation et sans chaîne de responsabilité, la réponse devient impossible.

Enfin, la CNIL relève un manquement à la confidentialité (article 32 du RGPD) dans un envoi par courriel à plusieurs centaines de destinataires, tous adhérents d’un même parti, sans utiliser le champ « cci ». Résultat : les adresses électroniques ont été exposées à l’ensemble des destinataires. L’autorité insiste sur la gravité du risque, car ces données peuvent révéler des opinions politiques réelles ou supposées. Elle rappelle qu’il s’agit de données sensibles au sens de l’article 9 du RGPD. Pour l’angle cybersécurité, c’est le point le plus immédiatement tangible : une simple erreur de paramétrage, ou un geste mal maîtrisé, suffit à créer une fuite de données, avec un impact potentiel sur la sécurité des personnes et sur la confiance dans l’organisation politique.

Ce que la CNIL rappelle aux candidats, et aux prestataires

Pris ensemble, ces manquements dessinent une cartographie très concrète des fragilités des campagnes. D’abord, la gouvernance. La CNIL répète un principe clé : même si une entreprise est sollicitée pour envoyer les messages, le candidat demeure comptable de la conformité. Dans les faits, cela signifie que la délégation ne peut pas se limiter à « faire partir » un volume de messages. Elle doit inclure la capacité à démontrer la licéité, à expliquer l’origine des données, et à garantir les droits. Ce n’est pas une formalité, c’est une obligation de preuve.

Ensuite, la discipline des finalités. Le cas du professionnel de santé résume l’écueil : une donnée collectée dans un contexte relationnel asymétrique, ici le soin, ne peut pas être recyclée pour un objectif électoral. Au-delà du cadre juridique rappelé par la CNIL, l’effet de renseignement est évident : des bases constituées pour des usages de confiance, lorsqu’elles sont détournées, deviennent des outils de pression ou d’influence, même si l’intention initiale se veut « seulement » politique. La frontière, pour le public, se brouille immédiatement.

Troisième enseignement, la transparence n’est pas optionnelle. La CNIL insiste sur l’information complète : dire ce qui est fait, avec quelles données, et comment exercer ses droits. Ce point est crucial dans un environnement où les données circulent par listes, par prestataires, par réutilisations successives. Le texte de l’autorité cite explicitement des sources possibles de données, comme les listes électorales ou la revente, ce qui suffit à comprendre le risque : dès que l’origine n’est plus directe, la charge de clarté augmente.

Quatrième leçon, l’opposition et la gestion des droits doivent être conçues comme un circuit. Un « STOP » absent, une demande ignorée, et la campagne se retrouve à la fois en infraction et dans l’incapacité de corriger. Ce n’est pas seulement une faute, c’est une perte de contrôle. Les campagnes modernes fonctionnent avec des outils, des envois en masse, parfois des fichiers multiples. Sans procédure, l’organisation ne sait plus où se trouvent les données, qui les a, ni comment arrêter l’usage.

Cinquième rappel, la sécurité opérationnelle la plus basique compte. L’épisode du courriel sans « cci » montre qu’une fuite peut naître d’un acte banal. Dans le champ politique, où l’exposition peut être sensible, divulguer une appartenance ou une proximité partisane, même indirectement, peut entraîner des conséquences disproportionnées. La CNIL qualifie ces informations de sensibles, et souligne la gravité de leur révélation. Ce rappel vaut comme message plus large : la conformité n’est pas qu’une affaire de formulaires, elle touche à la protection effective des personnes, et donc à la sécurité.