La CNIL rapporte, pour l’année 2024, une intensification de l’action répressive, avec quelques chiffres-clés :
- 321 contrôles effectués, contre 340 en 2023;
- 87 sanctions pour un montant total de plus de 55 millions d’euros d’amendes, dont 69 dans le cadre de la procédure simplifiée, 3 fois plus qu’en 2023 pour cette procédure ;
- 12 projets de sanctions européens étudiés ;
- 17 772 plaintes reçues, 15 639 plaintes traitées ;
- 5629 notifications de violation de données personnelles, soit une hausse de 20 % par rapport à 2023.
Les quatre manquements les plus constatés dans le cadre des procédures simplifiées étaient les suivants :
- Le défaut de coopération avec la CNIL ;
- Le non-respect de l’exercice des droits des personnes concernées ;
- Le manquement à la règle de minimisation des données ;
- Le manquement relatif à la sécurité des données personnelles.
Dans l’ensemble, la majorité des plaintes relevaient du secteur télécom, web et réseaux sociaux.
Concernant la cybersécurité, la CNIL note une forte augmentation des violations des données personnelles : elle recense 20% d’incidents de plus qu’en 2023 et constate que le nombre d’attaques ayant touché plus d’un million de personnes a doublé.
Selon le rapport, les attaques qui lui sont notifiées sont souvent caractérisées par trois éléments récurrents :
- la compromission des données de connexion (identifiant et mot de passe) ;
- l’absence de détection de la fuite avant la mise en vente des jeux de données ; et
- une part significative des incidents impliquant un sous-traitant.
Plusieurs documents publiés au cours de l’année, élaborés le plus souvent en concertation avec les auteurs concernés, ont vocation à aider les organismes à assurer un bon niveau de cybersécurité. Un document complet à ce sujet, le Guide de la sécurité des données personnelles a été mis à jour et réédité. Il s’adresse en particulier aux DPO, responsables de sécurité des systèmes d’information, informaticiens et juristes.
Le deuxième axe important concerne l’intelligence artificielle, notamment générative. La CNIL a créé un service dédié à l’IA, chargé de développer des recommandations, des outils d’audit ou encore des accompagnements adaptés à ce domaine. Il mène également des réflexions stratégiques pour anticiper les innovations. Les premières recommandations publiées dans ce cadre ont pris la forme de 12 fiches thématiques dédiées à l’IA.
Par ailleurs, le rapport souligne que la CNIL est « la première autorité européenne à s’être intéressée aux applications mobiles ». Touchant un nombre important de citoyens – les Français ont téléchargé 30 applications en moyenne au cours de l’année précédente – ce sujet s’avère essentiel car les données personnelles collectées par les applications sont souvent plus nombreuses et sensibles. Les personnes concernées y partagent des données sur leur santé, leurs relations ou encore sur leurs opinions. La CNIL a mené une large consultation avec les acteurs représentatifs de l’écosystème des applications mobiles qui a abouti à la publication de recommandations dédiées.
