Le 29 avril dernier, la Commission nationale de l’informatique et des libertés (CNIL) a publié son rapport d’activité annuel, l’occasion de dresser le bilan du plan stratégique 2022-2024 et d’établir les perspectives du nouveau plan stratégique 2025-2028.
Pour rappel, les trois axes stratégiques du plan écoulé s’articulaient autour de la maîtrise et du respect des droits des personnes sur le terrain, la promotion du Règlement général de protection des données (RGPD) vis-à-vis des organismes susceptibles de traiter des données personnelles, et la priorité donnée aux actions de régulation sur des sujets à enjeux importants pour la vie privée.
L’année 2024 a donc été l’occasion de mettre en œuvre ces trois priorités.
En matière de maîtrise et de respect des droits des personnes sur le terrain. La CNIL a de nouveau démontré sa capacité à répondre aux sollicitations des particuliers en traitant davantage de plaintes qu’elle n’en a reçues [1].
En matière de promotion du RGPD, la CNIL a poursuivi sa mission de conseil à l’égard des organismes (entreprises, administrations etc.) en traitant près de 4.500 demandes de conseils et en produisant des guides, référentiels et recommandations, références en matière de bonnes pratiques dans le traitement des données. Le guide annuel sur la « Sécurité des données personnelles » [2] publié en 2024 constitue l’un de ces documents particulièrement précieux pour les organismes amenés à traiter des données personnelles.
En ce qui concerne les actions de régulation, la CNIL a diligenté 321 contrôles, adressé 180 mises en demeure de se conformer à la législation sur la protection des données et prononcé 87 sanctions représentant un montant total d’amende de plus de 55 millions d’euros. Elle fait ainsi mieux qu’en 2023, année au cours de laquelle elle avait déjà adressé 168 mises en demeure et prononcé 42 sanctions.
Les mises en demeures concernent notamment l’exercice par les individus de leurs droits en matière de données personnelles. Ainsi, la CNIL a mis en demeure des établissements de santé de donner accès aux patients à leur dossier informatisé, ou divers organismes afin de les enjoindre à permettre l’exercice, par les individus, de leurs droits en matière de données personnelles, notamment les droits d’opposition, à l’effacement des données, ou à l’accès aux données.
Par son bilan et grâce à l’ensemble des actions qu’elle a menées en 2024, la CNIL a pleinement assumé son rôle de garant de la protection des données personnelles, dans la continuité des actions engagées en 2023.
Enfin, le rapport 2024 a également permis à la CNIL de décliner ses engagements pour la nouvelle période du plan stratégique 2025-2028. L’autorité décline trois priorités, parmi lesquelles l’intelligence artificielle, la protection des plus jeunes et la cybersécurité. Elle souhaite ainsi engager dès les premiers mois de l’année 2025 des actions concrètes afin d’obtenir des effets immédiats sur les citoyens et les entreprises.
En ce sens, elle a sensibilisé, dès le mois d’avril 2025, les utilisateurs de Facebook et Instagram, à leur droit d’opposition en vue de l’exploitation prochaine de leurs données personnelles par la plateforme META afin d’entraîner son logiciel d’intelligence artificielle [3]. Elle a également lancé ses travaux et concertation au sujet du traitement algorithmique des images collectées par des caméras [4].
______
[1] Données brutes CNIL 2024 : 15 639 plaintes traitées pour 15 350 plaintes reçues
[2] CNIL. 2024. « Guide sur la sécurité des données personnelles ».
[3] CNIL. 25 avril 2025. « IA : META entraînera ses systèmes d’IA avec les données des utilisateurs européens dès 2025 ».
[4] CNIL. 19 mars 2025. « Caméra augmentées pour vérifier l’âge en point de vente : la CNIL lance des travaux de concertation ».