L’essor des technologies telles que l’intelligence artificielle (IA), l’Internet des objets (IoT) ou les identités numériques bouleverse les usages tout en générant de nouvelles vulnérabilités. La Commission nationale de l’informatique et des libertés (Cnil) s’inquiète de l’intensification des cyberattaques et des violations de données, qui menacent autant les particuliers que les organisations. Dans son plan stratégique pour la période 2025-2028 publié le 16 janvier 2025, la Cnil révèle que 61 % des Français déclarent avoir été victimes d’une cyberattaque au cours de l’année écoulée, et que 67 % des vols de données restent indétectés pendant plus de 100 jours. Face à ces chiffres, la Commission a, entre 2022 et 2024, effectué 1 006 contrôles, engagé 495 mises en demeure et prononcé 150 sanctions pour un montant cumulé de 245 669 800 euros.

“Encadrer l’IA” comme recommandation de la Cnil :

Le plan stratégique 2025-2028 de la Cnil s’articule autour de quatre axes majeurs, chacun porteur d’objectifs spécifiques pour répondre aux enjeux de la protection des données dans un monde numérique en rapide mutation. Le premier axe vise à renforcer les droits des personnes, en mettant l’accent sur la simplification des démarches pour exercer leurs droits et sur une sensibilisation accrue à la gestion des données personnelles. Le deuxième axe ambitionne d’accompagner les acteurs publics et privés dans leur conformité aux règles de protection des données, en proposant des outils pratiques et en favorisant l’intégration du respect de la vie privée dès la conception des projets.

Le troisième axe met en avant la sécurisation des usages numériques. La Cnil s’engage à encourager l’adoption de mesures de cybersécurité robustes et à soutenir les initiatives technologiques garantissant la confidentialité des données. Enfin, le quatrième axe est dédié à l’innovation et à l’anticipation des défis émergents : il propose d’encadrer les nouvelles technologies telles que l’intelligence artificielle et les identités numériques, tout en participant activement à l’élaboration de régulations européennes adaptées aux réalités technologiques. Ces axes, complémentaires, traduisent la volonté de la Cnil de conjuguer protection des droits, accompagnement des acteurs et soutien à l’innovation responsable.

Développer des solutions technologiques respectueuses de la vie privée des patients

Le secteur de la santé, particulièrement exposé aux cybermenaces, constitue une priorité stratégique pour la Cnil. L’interconnexion croissante entre dispositifs médicaux, hôpitaux et bases de données génère des opportunités mais aussi des risques majeurs. Une fuite de données de santé peut avoir des conséquences désastreuses, à la fois pour la confidentialité des patients et pour la continuité des soins.

Pour répondre à ces enjeux, la Cnil soutient le développement de solutions technologiques respectueuses de la vie privée, comme les Privacy Enhancing Technologies (PETs), et encourage l’adoption de bonnes pratiques dès la conception des outils numériques. Elle insiste également sur l’importance de renforcer la sensibilisation des professionnels de santé, souvent en première ligne face aux cyberattaques, et des patients, qui doivent être informés des risques liés à la gestion de leurs données personnelles.

Faire de chaque citoyen, un acteur de la cybersécurité

L’un des objectifs clés de ce plan stratégique est de transformer chaque individu et organisation en acteur de la cybersécurité. Dans ce sens, Cnil prévoit de :

• développer des outils pédagogiques pour les petites entreprises et collectivités locales, souvent les plus vulnérables aux attaques ;
• continuer de contrôler et de sanctionner les acteurs négligents pour faire respecter les normes de sécurité ;
• participer à l’élaboration de standards européens pour intégrer les exigences de protection des données dans les certifications.

Dans le secteur de la santé, la CNIL met l’accent sur la nécessité de créer des solutions innovantes capables de sécuriser les informations sensibles tout en facilitant l’accès et l’usage des données pour les professionnels et les patients.