Violations de données personnelles : la Cnil passe à l'offensive après une année record
La Commission nationale de l'informatique et des libertés (CNIL) a présenté le 29 avril 2025 son rapport d'activité pour l'année 2024, marquée par une augmentation sans précédent des violations de données personnelles et un durcissement des contrôles.
Une recrudescence des violations de données personnelles
En 2024, la CNIL a enregistré 5 629 notifications de violations de données personnelles, soit une hausse de 20% par rapport à 2023, selon Les Échos. Le nombre d'attaques touchant plus d'un million de personnes a doublé en un an, passant d'une vingtaine à une quarantaine, d'après France Info. Cette tendance s'est poursuivie au premier trimestre 2025 avec plus de 2 500 violations signalées, représentant près de la moitié du total annuel précédent.
Les principales causes identifiées sont les attaques informatiques (55%) et les erreurs humaines internes (20%), selon le rapport. La CNIL précise que dans de nombreux cas, les informations de connexion compromises ou les intrusions non détectées ont facilité ces violations.
Marie-Laure Denis, présidente de la CNIL, a déclaré que "la question n'est pas de savoir s'il va y avoir une attaque cyber mais quand" lors d'un entretien. Elle souligne également que "80% des grandes violations de données auraient pu être évitées" grâce à des mesures de sécurité renforcées, telles que la double authentification, comme elle l'explique à l'AFP.
Renforcement des obligations de sécurité et hausse des sanctions
Face à l'ampleur des violations, la CNIL impose l'instauration de la double authentification pour toutes les bases de données contenant plus de deux millions de personnes à partir de 2026. Cette exigence concernera les salariés, prestataires et sous-traitants accédant à distance aux systèmes concernés.
En matière de sanctions, l'autorité a prononcé 87 décisions en 2024, contre 42 en 2023, pour un montant total de 55,2 millions d'euros d'amendes, selon Le Figaro. La procédure simplifiée, instaurée en 2022 pour traiter plus rapidement certaines infractions, a permis de prononcer 69 sanctions, soit trois fois plus qu'en 2023, comme le souligne la CNIL dans son propre rapport.
Les plaintes ont également atteint un niveau inédit, avec 17 772 dossiers reçus en 2024, soit une hausse de 8%. La majorité des réclamations concernent les télécommunications, le web et les réseaux sociaux (49%), suivis par le commerce (19%) et le travail (13%), selon les données officielles.
Données personnelles et intelligence artificielle sous surveillance
La CNIL a également intensifié ses contrôles sur l'utilisation des données par les applications mobiles, en ciblant notamment l'absence de consentement explicite pour l'exploitation de données sensibles. Marie-Laure Denis précise : "Il y a eu des scandales, il ne faut pas hésiter à le dire, sur l'exploitation de données sensibles sans le consentement des utilisateurs".
Concernant l'intelligence artificielle générative, la CNIL a publié 12 fiches pratiques pour encadrer le développement des systèmes utilisant des données personnelles. Elle accompagne également les acteurs du secteur pour instaurer des filtres capables d'effacer certaines informations sensibles lors de la restitution de contenus.
Dans ce cadre, Marie-Laure Denis recommande aux utilisateurs de faire preuve de vigilance : "Ne confiez pas à une IA ce que vous ne confieriez pas à quelqu'un que vous croiseriez dans la rue".