Les équipes de la Cnil n’ont pas chômé en 2023 comme l’a rappelé ce mardi matin Marie-Laure Denis, présidente de l’institution reconduite pour un second mandat. Et effectivement les chiffres parlent d’eux-mêmes, le régulateur a reçu 16 433 plaintes en hausse de 35% par rapport à 2022. Pour la dirigeante, cette progression « montre que les gens sont de plus en plus sensibles à leurs données personnelles ». Parmi les domaines où les usagers rencontrent le plus d’atteintes à leur vie privée, il y a l’environnement professionnel avec la mise en place de dispositif de vidéosurveillance des salariés, mais aussi les problèmes de droit d’accès ou des cookies sur Internet.
Ces plaintes ont donné lieu pour certaines à des enquêtes et se sont terminées par des sanctions financières. On retiendra notamment l’amende infligée à Criteo et le ciblage publicitaire à hauteur de 40 M€ et plus récemment la condamnation d’Amazon France à 32 M€ pour la surveillance de ses salariés dans les entrepôts. Au total le régulateur a prononcé 42 sanctions pour un montant global de sanctions de 89,17 M€.
La cybersécurité, une priorité pour la Cnil
« La cybersécurité continue à être une priorité pour la Cnil et le sera en 2024 », explique Marie-Laure Denis. En 2023, la Commission a reçu 4668 notifications pour violation de données soit une progression de +14% sur un an. Parmi les sollicitations, 60% ont pour origine déclarée une cyberattaque et 22% sont liées à du rançongiciel. Et 2024 a commencé sur les chapeaux de roues avec deux incidents à fort impact, le piratage des organismes de tiers payants (Viamedis et Almerys) et celui de France Travail. Ce qui fait dire à la présidente de la Cnil qu’ « en l’espace de deux mois, un Français sur 2 a vu ses données personnelles compromises ».
Il est donc urgent pour la présidente de la Cnil d’accentuer les efforts de sensibilisation sur la cybersécurité auprès des différents publics entreprises notamment les PME et le grand public. Le guide sur la sécurité des données personnelles a ainsi été mis à jour pour les entreprises et les administrations. Le régulateur va également « partager plus ses connaissances sur ce sujet et mettre à jour sa doctrine », souligne Thibaut Antignac, adjoint au chef de service de l’expertise technologique. Le volet répressif n’est pas oublié avec souvent des points liés aux manquements en matière de sécurité des données dans les sanctions. Marie-Laure Denis observe par exemple qu’en 2023, elle a adressé des mises en demeure à une quarantaine de communes dont les sites web n’étaient pas en HTTPS.
Mobiliser pour les JOP 2024
Enfin les Jeux Olympiques et Paralympiques à Paris cet été vont mobiliser la Cnil, assure la dirigeante. L’autorité administrative indépendante va notamment donner prochainement son avis sur les solutions mises en place pour l’accès à certains périmètres par les résidents (qui est concerné, quelles sont les informations nécessaires, etc.). Les JO, c’est aussi des bénévoles, les candidats sont « criblés » par une enquête administrative, « si un candidat a un refus, il pourrait saisir la Cnil », glisse Marie-Laure Denis. Sur la partie cybersécurité et d’une potentielle augmentation des notifications pendant la période, elle reste prudente « il est bien difficile d’avoir une idée du volume d’attaques pour un tel évènement en se référant avec ce qui s’est passé à Tokyo et leur 4 milliards d’incidents de sécurité ».
Bien évidemment, le régulateur sera attentif à l’utilisation des caméras de surveillance algorithmique. La présidente rappelle que leur usage est soumis à un encadrement précis via une loi, « ce n’est pas open bar ». Les expérimentations doivent « trouver un équilibre entre la sécurité publique et les libertés individuelles », précise-t-elle. Un travail de concertation et d’audit a été réalisé avec les fournisseurs de solution pour savoir quelles données ils utilisent, la localisation, leurs clients, les modèles d’IA,…Marie-Laure Denis donne rendez-vous en 2025 pour faire une évaluation du dispositif, « sur le plan technique, juridique, sur son utilité ».