En janvier 2025, la CNIL a publié son plan stratégique 2025-2028. Elle y dresse un bilan des actions menées de 2022 à 2024 et y présente 4 axes de travail pour les prochaines années.
Bilan des actions de la CNIL
Fin de la période de tolérance
Au cours des 3 années écoulées, la CNIL a mené 1006 contrôles, qui ont abouti à 150 sanctions, pour un montant cumulé de près de 246 millions d’euros. Si le rythme des contrôles reste à peu près constant, le nombre de sanctions et le montant des amendes sont en augmentation. La période de tolérance suite à l’entrée en vigueur du RGPD en 2028 est définitivement révolue.
Prise de conscience du public
En 3 ans, la CNIL a traité près de 45000 plaintes de la part de particuliers. 2 enseignements à tirer de ce chiffre élevé : d’une part, le grand public est de plus en plus informé de l’existence du RGPD et des droits qu’il confère aux particuliers sur leurs données personnelles ; d’autre part, les particuliers sollicitent plus facilement la CNIL lorsque leurs droits ne sont pas respectés par les entreprises traitant leurs données.
Prise de conscience des entreprises
Sur la période 2022-2024, la CNIL a reçu plus de 14000 notifications de violation de données. Ces notifications doivent être effectuées par les organisations lorsqu’elles constatent un incident affectant la sécurité des données personnelles qu’elles traitent. Cette augmentation des notifications est pour partie liée au nombre croissant d’incidents de sécurité, et pour partie due au fait que de plus en plus des entreprises ont mis en place une procédure de notification systématique de ces incidents.
4 axes prioritaires pour 2025-2028
AXE 1
Promouvoir une intelligence artificielle éthique
Dans le domaine de l’IA, la CNIL se fixe pour objectif de sensibiliser le grand public aux enjeux de cette nouvelle technologie et à l’exercice de ses droits.
AXE 2
Protéger les mineurs dans l’univers numérique
La CNIL prévoit d’accentuer ses actions d’information et de prévention auprès des enfants et des parents, avec en particulier pour objectif de permettre aux mineurs de mieux exercer leurs droits sur leurs données. Des contrôles sur les opérateurs offrant des services en ligne aux mineurs sont prévus.
AXE 3
Renforcer la confiance dans le numérique
La CNIL souhaite consolider la coopération et la coordination avec l’écosystème de la cybersécurité. Ceci se traduira très certainement par un rapprochement significatif avec l’ANSSI, y compris dans le cadre de contrôles et de sanctions communs, au titre du RGPD et de la NIS2.
AXE 4
Actions ciblées sur les usages numériques du quotidien
La CNIL va poursuivre la mise en œuvre de son plan d’action relatif aux applications mobiles et à la protection des utilisateurs. La CNIL a publié ses Recommandations sur le sujet en septembre dernier. Une campagne de contrôles est annoncée dès le printemps 2025.
Les thématiques prioritaires de contrôle de la CNIL, publiées chaque année en février, devraient être définies en cohérence avec ces 4 axes.
Les conseils d’ALLIER PRIVACY
Intelligence artificielle
Vous avez mis à disposition de vos salariés une solution d’intelligence artificielle générative, comme ChatGPT, Copilot, Gemini, Claude… ? Vos solutions intègrent de l’intelligence artificielle ? Vous développez votre propre modèle d’intelligence artificielle ? Dès le 2 août 2025, les IA à usage général seront soumises au Règlement sur l’intelligence artificielle (RIA). Il donc nécessaire d’en encadrer les usages dès à présent dans votre organisation, en portant une attention particulière à la sécurisation des données personnelles. D’autant plus que la CNIL pourrait être désignée autorité de contrôle pour l’intelligence artificielle.
La CNIL propose sur son site une fiche récapitulative des enjeux et obligations liées au RIA : Entrée en vigueur du RIA.
Données des mineurs
Les données personnelles des mineurs sont considérées comme sensibles par le RGPD. Leur traitement nécessite donc des mesures de sécurité renforcées, et parfois de réaliser un analyse de risques spécifique aux données personnelles, appelée analyse d’impact ou AIPD. Il est également crucial de réfléchir aux données collectées et de ne demander que les informations strictement nécessaires pour des objectifs clairement définis et documentés.
Applications
Si vous développez ou éditez des applications, il vous faut prendre en compte les recommandations de la CNIL dès la conception, sous peine de retrait de votre application jusqu’à sa mise en conformité et de sanctions financières. A noter également que la CNIL coopère avec l’Autorité de la concurrence sur ce sujet.