Depuis 2022, la politique répressive de la CNIL ne cesse de se renforcer. Chaque année, le nombre de sanctions prononcées double : 21 en 2022, 42 en 2023 et 87 en 2024. Le nombre de mises en demeure et de rappels aux obligations légales a aussi fortement augmenté. En clair, la CNIL intensifie son action.
Comme chaque année, la CNIL publie de nouvelles thématiques de contrôle prioritaire. Voici celles de 2025.
Collecte de données et applications mobiles : une priorité pour la CNIL en 2025
Les applications mobiles font partie intégrante de notre quotidien. Elles sont devenues le premier usage numérique au quotidien et collectent ainsi une quantité massive de données personnelles notamment bancaires et de géolocalisation. Cette campagne de contrôle s’inscrit dans la lignée des thématiques prioritaires de 2023 qui visaient déjà les applications mobiles.
Qu’elles soient développées par des entreprises privées ou des administrations publiques, toutes les applications sont concernées. Développeurs, éditeurs, fournisseurs de SDK et plateformes d’applications, chaque acteur doit s’assurer du respect du RGPD en se référant, par exemple, aux bonnes pratiques de la CNIL.
Cybersécurité des collectivités territoriales : des contrôles renforcés dès 2025
Axe majeur du plan stratégique 2025-2028 de la CNIL, la cybersécurité est un vrai défi sociétal. Parmi les acteurs concernés, les collectivités territoriales sont particulièrement exposées. En 2024, l’ANSSI a recensé 187 incidents cyber relatifs aux collectivités, soit une moyenne de 18 attaques par mois (contre 10 entre janvier 2022 et juin 2023).
Les collectivités territoriales collectent beaucoup de données dont certaines sont sensibles. Afin de mieux protéger les données, la CNIL envisage pour 2025 de contrôler les mesures mises en œuvre par les collectivités.
En cas d’attaque d’une criticité importante, plusieurs mois sont parfois nécessaires avant de retourner à un mode de fonctionnement normal. Ainsi, certaines attaques peuvent non seulement avoir un impact sur la continuité des services publics, mais également avoir des conséquences financières élevées.
En parallèle des contrôles, la CNIL va continuer son action en matière de sensibilisation et d’accompagnement, préparant l’entrée en vigueur de la Directive NIS 2 qui prévoit de nouvelles exigences.
Pour vous prévenir et vous protéger au mieux des cybermenaces, n’hésitez pas à faire appel à nos services de cybersécurité ou à notre formation en ligne.
Données traitées par l’administration pénitentiaire
Il y aurait 77 800 personnes détenues en France selon les chiffres du ministère de la Justice. L’administration pénitentiaire détient des informations particulièrement sensibles liées à la gestion de la vie en détention et la réinsertion des personnes incarcérées.
La CNIL entend donc vérifier les conditions de traitement des données des personnes incarcérées d’une part. D’autre part, elle effectuera en priorité ses contrôles sur l’ensemble des mesures de sécurité mises en place par les établissements, notamment celles relatives aux installations informatiques et aux moyens de communication déployés.
Le droit à l’effacement
Avec certains de ses homologues européens, la CNIL va procéder à des vérifications de la bonne mise en œuvre du droit à l’effacement, prévu par l’article 17 du RGPD. Cette action s’inscrit au sein du cadre d’application coordonné. C’est la quatrième année consécutive que la CNIL et plusieurs de ses homologues européens s’associent pour s’assurer de la bonne application du RGPD.
Le droit à l’effacement est l’un des droits les plus fréquemment exercés et fait l’objet de très nombreuses plaintes reçues par la CNIL. C’est environ 37 % des plaintes qui concernent ce droit.
Les organismes responsables de traitement ont l’obligation de répondre aux demandes de droit d’effacement. Après le droit d’accès en 2024, la CNIL s’assurera donc de sa bonne mise en application et partagera les résultats des investigations avec les homologues concernés. L’autorité française pourra en revanche décider de prononcer une sanction de manière totalement autonome.
Un rapport du CEPD sera ensuite publié sur les résultats de cette campagne une fois les actions terminées.
Que vous soyez une entreprise, une collectivité ou un éditeur d’application, il est essentiel d’anticiper un éventuel contrôle en auditant vos pratiques de traitement de données. Besoin d’aide pour votre conformité RGPD ? Notre équipe vous accompagne : audits, formations, conseils sur mesure.