Face aux fuites de données massives, la Cnil va hausser le ton, annonce sa présidente

Le régulateur, qui publie son rapport annuel mardi, va imposer aux entreprises et organismes publics qui détiennent des bases de données de plus de deux millions de personnes d'instaurer un système de double authentification, réputé plus fiable qu'un simple mot de passe.

Tous les salariés, prestataires ou sous-traitants qui se connectent à distance à ces services devront non seulement s'identifier de façon classique mais également utiliser un autre moyen d'identification, comme un code reçu par SMS.

"Ce qui nous préoccupe, c'est que le nombre de violations qui concernent des bases de données de plus d'un million de personnes a doublé entre 2023 et 2024", explique à l'AFP Marie-Laure Denis, à la tête de l'institution depuis 2019.

Une tendance qui s'accélère puisque l'autorité chargée de la protection de la vie privée des Français a déjà relevé plus de 2.500 violations de données au premier trimestre 2025, soit près de la moitié de ce qu'elle a enregistré sur toute l'année 2024 (5.629).

Sa présidente estime que "80% des grandes violations de données" enregistrées l'an passé "auraient pu être évitées" avec la double authentification, couplée à la mise en place d'outils permettant de détecter des extractions massives de ces informations ou encore une plus grande sensibilisation des salariés.

Parmi les organismes qui en ont été victimes: France Travail, l'opérateur Free, le groupe de grande distribution Auchan et les opérateurs du tiers payant Viamedis et Almerys.

"Contrôles massifs"

Après un temps d'adaptation, la patronne de la Cnil promet des "contrôles massifs" dès 2026.

L'an dernier, l'autorité a plus que doublé le nombre de sanctions prononcées, passant de 42 en 2023 à 87 en 2024, pour un montant total de 55,2 millions d'euros d'amendes.

Le régulateur a également commencé à contrôler l'utilisation des données personnelles par les applications mobiles, sur le même principe que celui exigeant des sites internet de proposer explicitement l'acceptation ou le refus des cookies tiers.

"Il y a eu des scandales, il ne faut pas hésiter à le dire, sur l'exploitation de données sensibles sans le consentement des utilisateurs", affirme Marie-Laure Denis, citant notamment les applications de rencontres, "qui nous ont incités à nous saisir de ce sujet".

"On va contrôler le fait que vous êtes informé de la collecte des données qui est faite quand vous téléchargez ou quand vous utilisez une application, on va contrôler si ces données sont utilisées pour la prospection publicitaire", a-t-elle détaillé, soulignant le fait que "chaque Français télécharge environ 30 applications par an".

IA sous surveillance

En parallèle, la Cnil a aussi placé l'intelligence artificielle (IA) générative, technologie qui repose sur l'exploitation massive de données, souvent personnelles, au coeur de ses préoccupations.

"On travaille beaucoup avec les acteurs (de l'IA) pour essayer de voir quelles technologies mettre en oeuvre, pour qu'il y ait par exemple un filtre au moment de la régurgitation des données", indique Marie-Laure Denis, afin qu'une partie de celles-ci "puissent pouvoir être effacées".

Elle se félicite également que les utilisateurs européens des plateformes de Meta (Facebook, Instagram) puissent refuser que leurs données publiques soient utilisées afin d'entraîner l'IA du géant américain, pour peu qu'ils remplissent un formulaire en ligne d'ici le 27 mai.

Alors que, selon un baromètre Ifop/Talan publié en avril, 45% des Français sondés disent utiliser l'IA générative au quotidien, la présidente de la Cnil met en garde sur les données partagées lors des échanges avec ces agents conversationnels, comme ChatGTP de l'américain OpenAI ou Gemini de Google.

"Soyez très vigilants avec les données qui devraient vous paraître être un peu sensibles (...) comme des données de santé, des données bancaires, des données sur votre identité sexuelle", insiste-t-elle.

"Ne confiez pas à une IA ce que vous ne confieriez pas à quelqu'un que vous croiseriez dans la rue."