La Cnil s'inquiète des vols de données et veut réguler l'IA

Publié le par Olivier Devillers , pour Localtis
Numérique

La Commission nationale Informatique et Libertés (Cnil) a publié son rapport d'activité 2024. Une année marquée par l'explosion des vols de données et l'arrivée de nouvelles menaces, liées notamment à l'IA. Un domaine dont l'autorité espère devenir le régulateur national dans le cadre de l'IA Act.

couverture du rapport

© CNIL

En 2024, la Cnil a connu une année chargée. Pour preuve, son bilan publié le 29 avril 2025 qui recense 15.350 plaintes reçues, en hausse de 8% par rapport à 2023. Le nombre de sanctions prononcées a par ailleurs plus que doublé, passant de 42 en 2023 à 87 en 2024, pour un montant total de 55,2 millions d'euros d'amendes. L'autorité a également prononcé 180 mises en demeure et effectué 321 contrôles, dont 166 sur place. Des actions répressives en hausse que la commission attribue à la simplification du traitement des litiges mise en place.

Des violations de données massives

L'année 2024 a été marquée par une augmentation sensible des violations de données avec 5.629 notifications, soit 20% de plus qu'en 2023. Parmi elles, celles touchant plus de 1 million de personnes a doublé, passant d'une vingtaine à une quarantaine d'attaques réussies. Ces incidents ont touché tous les secteurs d'activité, dont des administrations (France travail), des collectivités territoriales et des acteurs du secteur de la santé

Dans les causes, la Cnil a identifié des défauts de sécurité récurrents : procédures de connexion mal sécurisées, absence de détection des intrusions et exfiltrations, et une part significative d'incidents impliquant un sous-traitant. Les contrôles menés ont révélé que des mesures de sécurité élémentaires, recommandées par la Cnil et l'Anssi, auraient pu prévenir nombre de ces violations. Avec plus de 2.500 violations de données au premier trimestre 2025, soit près de la moitié de ce qui a été observé en 2024, la Cnil promet de renforcer cette année contrôles et sanctions.

Les caméras augmentées dans le viseur

La Cnil a par ailleurs assuré le suivi des expérimentations de vidéosurveillance augmentée pendant les Jeux olympiques et paralympiques. Elle a mené 22 contrôles entre avril et octobre 2024, avant, pendant et après les jeux dont 6 concernaient les caméras de vidéoprotection "augmentées" utilisées sur les sites olympiques. Il s'agissait de s'assurer que les dispositifs mis en œuvre respectaient strictement les cas d'usage prévus par la loi (lire le bilan des expérimentations dans notre article du 10 février 2025) et dont la prolongation vient d'être retoquée par le Conseil constitutionnel (notre article du 25 avril 2025) . La Cnil a par ailleurs mis en demeure six communes pour qu'elles mettent fin à l'usage de caméras augmentées pour suivre en temps réel le comportement de personnes filmées sur la voie publique.

La multiplication des cas d'usage des caméras dopées à l'IA a conduit la Cnil à éditer des fiches supplémentaires. Un guide de la vidéoprotection à destination des maires, conçu en partenariat avec l'AMF, a aussi été publié. Le cadre de la vidéoverbalisation a notamment été clarifié, l'interdiction de la captation sonore dans l'espace public étant confirmée.

La Cnil prête à réguler l'IA

Le rapport consacre tout un chapitre à l'IA, dont la Commission a fait une de ses priorités de régulation pour la période 2025-2028 avec l'addiction aux écrans, l'identité numérique et la cybersécurité. La Cnil ne sait cependant pas si elle sera désignée autorité régulatrice de l'IA, la désignation de cette instance nationale prévue par l'IA Act européen devant être effective avant le 2 août 2025. La Cnil, qui a déjà publié 12 fiches pratiques pour encadrer le développement des systèmes d'IA et une FAQ pour clarifier les interactions entre RGPD et l'IA act, se dit prête à assumer ce nouveau rôle.

En matière d'IA, la Cnil s'inquiète notamment des deepfakes, ces contenus audio ou vidéo générés par l'IA usurpant l'identité, la voix et/ou l'image d'un tiers. Aujourd'hui seule leur diffusion sans l'accord de la personne visée est aujourd'hui interdite. Or le phénomène se démocratise avec la multiplication des applications d'IA générative permettant d'en créer sans connaissances techniques. La Cnil souligne les nombreux risques que font peser les deepfakes sur la vie privée : usurpation d’identité, escroquerie, désinformation, diffamation, humiliation... Un phénomène qui affecte déjà les écoles et pourrait prendre de l'ampleur en 2025 avec la proximité des échéances  électorales.

 

Pour aller plus loin

Voir aussi

    Abonnez-vous à Localtis !

    Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

    Découvrir Localtis

    Back to Top of the Page