L'année 2025 promet d'être pire que la précédente, déjà marquée par des cyber attaques de grande ampleur et de très nombreuses fuites de données. Dans ce contexte sous haute tension, la Cnil publie aujourd'hui son bilan annuel avec ses actions marquantes en 2024, adoptant au passage une nouvelle présentation.
Comme chaque année, la CNIL a publié son rapport d’activité, dressant le bilan de ses actions autour de ses quatre grandes missions : informer et protéger les utilisateurs, accompagner et conseiller les professionnels ainsi que les pouvoirs publics, anticiper et innover pour bâtir le numérique de demain, et enfin, contrôler et sanctionner les manquements au RGPD et aux lois en vigueur.
Globalement on y apprend qu'en 2024, la Cnill n'a pas chômé avec 331 mesures correctrices rendues, dont 87 représentant plus 55 millions d’euros d’amendes. La procédure simplifiée -introduite en 2022 pour les affaires ne présentant pas de difficulté particulière- a été particulièrement sollicitée et a donné lieu à 69 sanctions -multipliant par trois celles enregistrées en 2023. Elle a également étudié 12 projets de sanction européens.
Infographie - La Cnil
Quelles mesures pour le futur ?
Par rapport aux attaques de grande envergure, la Commission envisage de demander aux structures -privées ou publiques- avec des bases de données de plus de deux millions de personnes de mettre en place une double authentification, bien plus sécurisée qu’un seul mot de passe.
A cela, s'ajouteront des opérations larges de contrôle à partir de 2026, y compris sur les applications mobiles. Après un essor des sanctions en 2024, la Cnil élargit son champ d’action aux données exploitées dans les apps, notamment celles collectées à l’insu des utilisateurs et tout particulièrement les applis de rencontres. Par rapport à certaines attaques (en particulier les ENT ou les seniors), elle suggère l'organisation d'ateliers de travail dans les établissements scolaires, lors de salons et d'évènements, et ce, dans une logique de prévention.
Enfin, dernier point de friction et non des moindres, l’IA générative devient une priorité. La Commission veut mieux encadrer la collecte et l’utilisation de données personnelles. Elle pense notamment à des systèmes de filtrage ou d’effacement de données automatiques.
Les violations touchant les grandes bases de données se sont multipliées en 2024 (extrait www.cnil.com) :
En 2024, la Cnil a été notifiée de 5 629 violations de données personnelles, soit 20 % de plus qu’en 2024. Au-delà de cet accroissement notable, la tendance la plus préoccupante est celle d’une recrudescence de violations de très grande ampleur.
En plus des violations sans précédent qui ont concernées les opérateurs du tiers payant, France Travail ou encore la société Free, la CNIL constate que le nombre de violations touchant plus d’un million de personnes a doublé en un an.
• 5 629 violations de données ont été notifiées à la CNIL en 2024 • +20 % par rapport à l’année précédente
