La Commission nationale de l’informatique et des libertés (CNIL) s’inquiète après une année marquée par des fuites de données personnelles « d’une ampleur inédite ».
« En 2024, les violations de données ont été non seulement plus nombreuses mais aussi d’une plus grande ampleur, entraînant le vol de données de millions de personnes », déplore l’autorité protectrice de la vie privée des Français, dans son bilan dévoilé mardi 29 avril.
Le régulateur a enregistré, en 2024, 5 629 notifications de violations de données, soit 20 % de plus qu’en 2023, a-t-il détaillé dans son rapport, et il s’inquiète de voir que « le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies ». Parmi les organismes qui en ont été les victimes l’an passé : France Travail, Free, les opérateurs du tiers payant Viamedis et Almerys, ou encore Auchan.
La tendance s’accélère, puisque la CNIL a déjà relevé plus de 2 500 violations de données au premier trimestre, soit près de la moitié de ce qu’elle a enregistré en 2024.
Double authentification
Le régulateur va imposer aux entreprises et organismes publics qui détiennent des bases de données de plus de deux millions de personnes d’instaurer un système de double authentification, réputé plus fiable qu’un simple mot de passe. Tous les salariés, prestataires ou sous-traitants qui se connectent à distance à ces services devront non seulement s’identifier de façon classique mais également utiliser un autre moyen d’identification, comme un code reçu par SMS.
La présidente de la CNIL, Marie-Laure Denis, estime que « 80 % des grandes violations de données » enregistrées en 2024 « auraient pu être évitées » avec la double authentification, couplée à la mise en place d’outils permettant de détecter des extractions massives de ces informations ou encore une plus grande sensibilisation des salariés.
Après un temps d’adaptation, la patronne de la CNIL promet des « contrôles massifs » dès 2026.
La CNIL a comptabilisé 17 772 plaintes reçues en 2024, un total record et en hausse de 8 % par rapport à 2023. Un nombre similaire de plaintes (15 639) a été traité et plus de 5 700 ont été jugées non recevables.
Newsletter
« Pixels »
Réseaux sociaux, cyberattaques, jeux vidéo, mangas et culture geek
S’inscrire
Le nombre de sanctions prononcées par le régulateur a plus que doublé sur un an, passant de 42 en 2023 à 87 en 2024, pour un montant total de 55,2 millions d’euros d’amendes. Parmi les entreprises concernées, l’opérateur téléphonique Orange s’est vu infliger une amende de 50 millions d’euros en décembre 2024 pour des publicités non consenties. En 2023, ce montant total s’élevait à 89 millions d’euros, du fait de plusieurs amendes importantes visant le grand groupe français spécialiste de la publicité Criteo (40 millions d’euros) et Amazon France Logistique (32 millions).
En parallèle, la CNIL a effectué l’an passé 180 mises en demeure et soixante-quatre rappels aux obligations légales, des procédures également en augmentation. La procédure de sanction simplifiée, mise en place en 2022 pour les dossiers « ne présentant pas de difficulté particulière » et pour lesquels une amende maximale de 20 000 euros peut être prononcée, continue de se développer, avec soixante-neuf sanctions prononcées dans ce cadre.
L’intelligence artificielle sous surveillance
Le régulateur a également commencé à contrôler l’utilisation des données personnelles par les applications mobiles, sur le même principe que celui exigeant des sites Internet de proposer explicitement l’acceptation ou le refus des cookies tiers. « Il y a eu des scandales, il ne faut pas hésiter à le dire, sur l’exploitation de données sensibles sans le consentement des utilisateurs », affirme Marie-Laure Denis, citant notamment les applications de rencontres, « qui nous ont incités à nous saisir de ce sujet ».
« On va contrôler le fait que vous êtes informés de la collecte des données qui est faite quand vous téléchargez ou quand vous utilisez une application. On va contrôler si ces données sont utilisées pour la prospection publicitaire », a-t-elle détaillé, rappelant que « chaque Français télécharge environ trente applications par an ».
En parallèle, la CNIL a aussi placé l’intelligence artificielle (IA) générative, technologie qui repose sur l’exploitation massive de données, souvent personnelles, au cœur de ses préoccupations. « On travaille beaucoup avec les acteurs [de l’IA] pour essayer de voir quelles technologies mettre en œuvre, pour qu’il y ait, par exemple, un filtre au moment de la régurgitation des données », dit Mme Denis, afin qu’une partie de celles-ci « puissent pouvoir être effacées ».
Elle se félicite également que les utilisateurs européens des plateformes de Meta (Facebook, Instagram) puissent refuser que leurs données publiques soient utilisées afin d’entraîner l’IA du grand groupe américain, pour peu qu’ils remplissent un formulaire en ligne d’ici au 27 mai.
La présidente de la CNIL met en garde sur les données partagées lors des échanges avec ces agents conversationnels, comme ChatGTP de l’américain OpenAI ou Gemini de Google, de plus en plus utilisés au quotidien par les Français. « Soyez très vigilants avec les données qui devraient vous paraître être un peu sensibles (…) comme des données de santé, des données bancaires, des données sur votre identité sexuelle, insiste-t-elle. Ne confiez pas à une IA ce que vous ne confieriez pas à quelqu’un que vous croiseriez dans la rue. »
