Une année record pour la Cnil. Loin des exploits sportifs, l’autorité administrative indépendante affiche dans son rapport annuel 2024 plusieurs chiffres marquants. Ainsi, le nombre de plaintes progresse de 8% pour atteindre 17 772 dont près de la moitié (49%) concerne le secteur télécom, web et réseaux sociaux. Elle a plus sanctionné aussi en 2024 avec plus de 55 millions d’’euros d’amendes. Dans un communiqué, la CNIL précise que « les conséquences des fuites de données constituent un motif d’inquiétude particulièrement fort. »

Explosion des vols de données et double authentification imposée

Dans ce domaine, le régulateur a été particulièrement mobilisé. En effet, le nombre de notifications pour violation de données s’établit à 5 629 en hausse de 20% par rapport à 2023. Pire, l’intensité des attaques s’est amplifiée avec un doublement des notifications pour des violations touchant plus d’un million de personnes. La plus emblématique des affaires a concerné France Travail en mars 2024 avec la compromission de 43 millions de comptes. On peut également évoqué le piratage de Free touchant des informations bancaires (IBAN) en octobre dernier.

Face à cette recrudescence, Marie Laure Denis, présidente de la Cnil, a indiqué à l’AFP que « 80% des grandes violations de données en 2024 auraient pu être évitées » en mettant en place une double authentification. Elle va donc dans les prochains mois imposer aux entreprises et aux administrations la mise en place de ce renforcement de sécurité pour les bases de données comprenant plus de 2 millions de personnes. En parallèle, elle demande aussi de faire plus de sensibilisation et de recourir à des outils de détection. La dirigeante promet des contrôles massifs sur ce sujet en 2026.

Un encadrement de l’IA indispensable

Très tôt la Cnil s’est mobilisée autour de l’intelligence artificielle en créant une entité spécifique. L’année 2024 a été marquée par l’adoption de l’IA Act au niveau européen et sa mise en œuvre va se poursuivre en 2025. Ce qui crispe les relations entre les Etats-Unis et l’Europe comme le montre les pressions émises par l’administration Trump sur les codes de bonnes pratiques sur l’IA.

Pour autant, la Cnil a donné des précieuses indications sur l’IA en publiant des fiches pratiques autour de différents sujets : déterminer la qualification juridique des acteurs, tenir compte de la protection des données dans la collecte et la gestion des données, dans la conception du système,… Marie Laure Denis veut continuer à travailler avec les différents acteurs concernés sur l’exploitation des données sensibles sans le consentement des utilisateurs. A cette fin, elle souhaite un dialogue « pour essayer de voir quelles technologies mettre en œuvre, pour qu’il y ait par exemple un filtre au moment de la régurgitation des données ».

Des JO sous bonne surveillance

2024 a été une année un peu particulière avec bien sûr la tenue des Jeux Olympiques à Paris. A cette occasion, la Cnil a été sollicitée sur plusieurs sujets notamment les caméras de surveillance à base d’IA. Sur celles-ci, le régulateur a constaté que « les dispositifs mis en œuvre étaient conformes aux cas d’usage prévus par la loi ». L’usage de ces caméras était expérimental, mais le Gouvernement a voulu prolonger ce test jusqu’en 2027. Le Conseil Constitutionnel a récemment retoqué cette demande en censurant un article de la loi sur la sécurité dans les transports.

La Cnil est intervenue aussi sur les accès aux zones restreintes avec un QR Code. Les personnes devaient s’enregistrer sur une plateforme collectant plusieurs données personnelels. La commission a indiqué aux autorités que « les copies de cartes nationales d’identité, permis de conduire, passeports et titres de séjour ne pouvaient ainsi être conservées que le temps nécessaire à la délivrance du titre d’accès ». Les équipes de la Cnil ont mené par ailleurs une campagne de sensibilisation auprès des spectateurs avec une liste de questions-réponses sur son site.