Chaque année, la commission nationale de l'informatique et des libertés (Cnil) priorise des actions de contrôle et pour 2025 celles-ci seront concentrées sur trois axes. "En 2025, la Cnil se concentrera sur les données collectées par le biais des applications mobiles, la cybersécurité des collectivités territoriales ainsi que les traitements de données par l’administration pénitentiaire", explique la commission. 

Ces prochains mois, la Cnil va notamment s'intéresser aux traitements réalisés dans le cadre du système de gestion nationale des personnes écrouées pour le suivi individualisé et la sécurité (GENESIS) contenant des informations particulièrement sensibles liées à la gestion de la vie en détention et la réinsertion de ces personnes. Par ailleurs "les établissements pénitentiaires doivent veiller de manière accrue à la sécurisation de leurs installations informatiques et des moyens de communication qui y sont déployés", indique la commission. Des enquêtes seront donc effectuées pour vérifier "les conditions de traitement des données des personnes incarcérées ainsi que l’ensemble des mesures de sécurité mises en place par les établissements."

SDK et gestion des permissions des applications mobiles sur le grill

Après un nombre particulièrement élevé d'attaques ayant visé les collectivités territoriales ces derniers mois, la Cnil va aussi contrôler cette année les mesures mises en œuvre par les collectivités territoriales afin de protéger les données des usagers. "En parallèle de ces contrôles, la Cnil va continuer à renforcer son action en vue de sensibiliser et d’accompagner les collectivités territoriales en matière de cybersécurité", indique la commission qui souhaite aussi préparer l’entrée en application de la directive NIS2, en cours de transposition.

Autre sujet sur lequel va se pencher l'institution : la collecte des données par le biais des applications mobiles. "Les Français téléchargent désormais une trentaine d'applications mobiles par an [...] La Cnil mènera cette année une série de contrôle des différents acteurs de l'écosystème, en particulier des éditeurs d'applications et des fournisseurs de kits de développement logiciel (SDK). Les vérifications porteront essentiellement sur les questions abordées dans la recommandation, notamment le paramétrage des SDK ainsi que les accès aux données du téléphone via la gestion des permissions (ou « autorisations)."

En 2024, 321 contrôles ont été effectués par la Cnil suite à des plaintes, de précédentes mesures correctrices, des signalements de violations de données ou en lien avec l'actualité.