En 2025, la Cnil annonce qu’elle concentrera ses contrôles sur les données collectées par les applications mobiles, la cyber sécurité des collectivités territoriales et les traitements de données par l’administration pénitentiaire. La Cnil va aussi procéder à des vérifications sur les conditions de mise en œuvre du droit à l’effacement. Elle justifie cette dernière action afin d’harmoniser l’application effective du RGPD et la coordination entre les autorités de contrôle en Europe.
Un quart des contrôles de l’année 2025
Les actions programmées de la Cnil représentent environ un quart de ses contrôles dans l’année à venir et ils s’inscrivent dans le cadre de thématiques prioritaires annuelles qu’elle définit. La Cnil a mené 321 contrôles en 2024. Ces centaines de contrôles font suite à des plaintes, à de précédentes mesures correctrices, à des signalements de violations de données ou ils sont en lien avec l’actualité.
Les apps mobiles sont une source de traitement de données bancaires, de géo-localisation et de données publicitaires
La Cnil mènera cette année une série de contrôles des différents acteurs de l’écosystème des applications mobiles, en particulier les éditeurs d’applications et les fournisseurs de kits de développement logiciel (les SDK). Les vérifications porteront essentiellement sur le paramétrage des SDK ainsi que les accès aux données du téléphone via la gestion des permissions ou « autorisations. Ces contrôles concerneront aussi bien les acteurs privés que publics, car il y a une multiplication des services publics proposant une application mobile pour des tâches administratives du quotidien.
Les collectivités territoriales sont particulièrement vulnérables
D’autre part, la Cnil pointe que ces dernières années ont été marquées par de nombreuses attaques informatiques impliquant les données personnelles bancaires ou de santé, d’une grande partie de la population. La Cnil a reçu 5 629 notifications de violation de données en 2024, c’est 20 % de plus qu’en 2023. Les collectivités territoriales sont particulièrement vulnérables. Cela concerne les communes, les départements et les régions.
Les collectivités traitent un grand nombre de données, l’état civil, les prestations sociales, des données financières
Inscription Newsletter
La Revue du DigitalLa Cnil souhaite ainsi préparer l’entrée en application de la directive NIS2, en cours de transposition, qui prévoit une montée en compétences et des exigences nouvelles pour les collectivités territoriales en matière de sécurité informatique.
Protection des données des personnes incarcérées
Enfin, en ce qui concerne les données traitées par l’administration pénitentiaire, lors de ses investigations, la Cnil vérifiera les conditions de traitement des données des personnes incarcérées ainsi que l’ensemble des mesures de sécurité mises en place par les établissements. Les établissements pénitentiaires doivent veiller de manière accrue à la sécurisation de leurs installations informatiques et des moyens de communication qui y sont déployés.
La Cnil rappelle que 77 800 personnes sont aujourd’hui en détention en France selon le ministère de la Justice. L’ensemble des informations relatives aux personnes faisant l’objet d’une mesure restrictive ou privative de liberté sont répertoriées au sein du traitement informatisé de « Gestion nationale des personnes écrouées pour le suivi individualisé et la sécurité » (« GENESIS »). Il contient notamment des informations particulièrement sensibles liées à la gestion de la vie en détention et la réinsertion de ces personnes.
