“L’objectif, avant tout, c’est la mise en conformité” : la CNIL détaille sa stratégie pour 2025-2028
Actualité

“L’objectif, avant tout, c’est la mise en conformité” : la CNIL détaille sa stratégie pour 2025-2028

artia13 5 Views

Le 16 janvier 2025, la Commission nationale de l’informatique et des libertés a dévoilé son plan stratégique pour la période 2025-2028. Un document de 12 pages qui, au-delà de dresser le bilan chiffré des trois dernières années, apporte plusieurs éclaircissements sur la manière dont l’autorité compte orienter son action« dans un contexte marqué par l’essor fulgurant des nouvelles technologies et par l’omniprésence de services numériques ». Pour protéger les données de chacun et « sécuriser l’avenir numérique de tous », la CNIL prévoit de focaliser son attention sur quatre axes prioritaires : l’intelligence artificielle, la protection des mineurs, la cybersécurité et les usages du quotidien numérique.

Mais comment ces priorités ont-elles été établies par le Collège de la CNIL ? Et quelles ressources, techniques et humaines, seront mobilisées pour déployer cette stratégie dans ses différents volets ? Éléments de réponse avec Mathias Moulin, secrétaire général adjoint de la CNIL.

Mathias Moulin, secrétaire général adjoint de la CNIL

Diplômé d’un master 2 en droit des NTIC, Mathias Moulin a rejoint la Commission nationale de l’informatique et des libertés (CNIL) en 2002. Il occupe le poste de secrétaire général adjoint depuis 2021, et assiste la présidente et le secrétaire général dans la définition, le pilotage et la mise en œuvre des orientations générales de l’institution.

Quelle méthodologie ou quels critères le Collège de la CNIL utilise-t-il pour identifier les enjeux qui structurent son plan stratégique 2025-2028 ?

Chaque année, nous organisons un séminaire et des ateliers avec les commissaires du collège de la CNIL. Cette année, comme notre précédent plan stratégique arrivait à son terme, le sujet était à l’ordre du jour. En amont, pour structurer le débat et disposer d’une base de travail, nous avons identifié des thématiques structurantes, puis construit un premier squelette. Par la suite, cette structure a été discutée au niveau des directions et des services, afin d’en extraire une déclinaison plus opérationnelle. Voilà pour la méthode.

Sur le fond, l’idée est d’identifier les sujets de société qui seront structurants et à fort impact en matière de protection et de manipulation des données. Par exemple, il est assez évident que l’IA va structurer nos activités et qu’elle fonctionne sur l’exploitation massive de données personnelles ou non personnelles. La cybersécurité, avec l’augmentation des violations, couplée à leur caractère de plus en plus massif, s’est aussi imposée à nous. Tout comme l’éducation au numérique : la digitalisation de la société est galopante, et nos enfants et adolescents sont de plus en plus exposés. Nous commençons déjà à constater les effets négatifs d’une surexposition aux écrans et la nécessité de permettre aux jeunes générations de développer une hygiène numérique. Ces trois axes se sont imposés assez naturellement, du fait de notre expérience, de nos activités et de nos missions. Le quatrième axe sur les applications mobiles est plus opérationnel, en prise avec les usages.

Le dernier point que l’on prend en considération, c’est la temporalité : s’agit-il de sujets sur lesquels nous avons un potentiel d’action à court, moyen et long terme ? On voit bien que sur chacun de ces sujets, c’est le cas.

Quelles actions sont mises en œuvre pour s’adapter et rester réactif face aux rapides évolutions technologiques ? Comment décririez-vous ce travail invisible ?

À la CNIL, nous avons quatre missions : le conseil et l’accompagnement des acteurs, l’instruction des plaintes et le contrôle pour garantir le respect des règles et engager des actions répressives si nécessaire, la sensibilisation et l’information avec la production de contenus pédagogiques à destination des citoyens, des collectivités locales et des PME, et la veille technologique. Cette dernière mission nous permet d’analyser les usages, le design, les dimensions sociologiques et économiques des innovations. Le but étant de mieux appréhender l’environnement de la donnée, dans toutes ses dimensions, et d’ainsi anticiper ses évolutions. Chacune de ces missions nourrit nos réflexions et nous met en interaction avec plusieurs typologies d’acteurs sur le terrain – citoyens, entreprises, administrations, collectivités locales.

L’objectif, avant tout, c’est la mise en conformité.

Entre 2022 et 2024, vous avez traité plus de 40 000 plaintes et prononcé 150 sanctions. Quels enseignements tirez-vous de ces chiffres ?

L’écart s’explique, tout d’abord, par des contraintes matérielles. Nous avons traité 45 000 plaintes. Et pour aboutir à une sanction, il faut mener une enquête approfondie et contradictoire, lors de laquelle la CNIL procède à des contrôles, analyse les éléments recueillis et échange avec l’organisme mis en cause. Lorsqu’une sanction est envisagée, un rapporteur est désigné, un rapport est transmis, puis soumis au contradictoire avant une audience. Le tout, dans le respect de délais incompressibles et avec d’éventuelles itérations. Même avec la procédure simplifiée, nous n’avons pas la capacité d’absorber un tel volume de dossiers, d’autant que la CNIL ne compte que 300 agents pour mener quatre missions définies par la loi. Un tiers de nos ressources humaines est dédié aux plaintes, aux contrôles et aux sanctions.

Par ailleurs, notre approche répressive ne repose pas sur une logique punitive. L’objectif, avant tout, c’est la mise en conformité. Dans la plupart des cas, nous obtenons ce résultat sans aller jusqu’à la sanction, soit par des échanges de courriers, soit par une mise en demeure. La sanction intervient lorsque la gravité des faits le justifie, ou en cas d’absence de coopération ou de réitération. Elle reste donc une exception et non un principe, même si elle est parfois nécessaire.

Si l’on se limite à une approche technico-économique de l’IA, on passe à côté du sujet.

L’IA est désormais omniprésente dans l’écosystème numérique. Comment voyez-vous le rôle de la CNIL dans sa régulation ?

Nous disposons déjà d’une expertise en matière d’IA que nous mobilisons dès lors que des données à caractère personnel sont impliquées. Le RGPD s’applique sans préjudice des autres réglementations. L’IA n’est pas apparue avec ChatGPT : elle était déjà présente dans des algorithmes avancés utilisés, par exemple, dans la détection de fraudes ou l’organisation et la priorisation des choix. Ces systèmes faisaient déjà l’objet de contrôles.

Sans tomber dans l’analogie avec Asimov, Terminator ou Matrix, il faut que la machine reste au service de l’homme, et non l’inverse. L’intérêt général doit primer.

L’enjeu, aujourd’hui, réside dans l’articulation avec le règlement européen sur l’IA (AI Act), qui a été récemment adopté. Depuis deux ans, nous avons créé un service dédié à l’IA et travaillé à l’élaboration de fiches pratiques pour clarifier le cadre légal et expliquer comment concilier le RGPD avec le RIA. L’objectif est de démontrer que l’innovation et la protection des données sont compatibles, contrairement à cette petite musique que l’on entend régulièrement. Certes, tout n’est pas simple, mais très sincèrement, si l’on se limite à une approche technico-économique de l’IA, on passe à côté du sujet. Sans tomber dans l’analogie avec Asimov, Terminator ou Matrix, il faut que la machine reste au service de l’homme, et non l’inverse. L’intérêt général doit primer : la régulation ne peut pas faire l’impasse sur la dimension humaine et éthique. La CNIL a toujours intégré ces trois dimensions – technique, économique et humaine – dans sa mission de régulation.

Concernant le RIA, la situation est différente, car le Gouvernement n’a pas encore rendu ses arbitrages. Les régulateurs compétents pour les différents marchés de l’IA n’ont pas encore été désignés. Nous avons clairement exprimé notre volonté de réguler les systèmes d’IA liés aux services régaliens et qu’il serait logique de l’étendre au secteur du travail, de l’éducation et de la recherche, que nous régulons déjà au titre du RGPD. Nous attendons les arbitrages, mais quoi qu’il en soit, dès qu’un système manipule des données personnelles, la CNIL aura son mot à dire.

L’interrégulation se fera à deux niveaux. D’abord au niveau national, il y aura des adhérences : les régulateurs (CNIL, Arcom, DGCCRF, Arcep) collaboreront sur des sujets communs. Des réseaux et des cadres d’échanges vont progressivement se structurer, des décrets préciseront les modalités de coopération, comme c’est déjà le cas avec le DSA ou le DMA. Ensuite, au niveau européen, les autorités de protection des données disposent déjà d’un cadre de coopération établi avec le RGPD. La Commission européenne aura un rôle central.

Ce qui caractérise les années 2023 et 2024, c’est le nombre de violations massives, avec plus d’un million de données compromises.

La CNIL a enregistré un nombre record de plaintes de violation de données en 2024. Comment l’expliquer ?

Effectivement, le nombre de notifications de violations de données a augmenté de 20 %. Deux raisons, sans doute, à cela. D’une part, une meilleure connaissance des obligations pousse davantage d’organismes à déclarer ces incidents. Même si nous restons en régime de sous-notification : il y a plus d’incidents de sécurité que de déclarations. D’autre part, la menace elle-même s’est intensifiée, avec une augmentation des attaques. Ce qui caractérise les années 2023 et 2024, c’est le nombre de violations massives, avec plus d’un million de données compromises. Elles ont doublé en un an, et certains incidents concernent plus de 20 ou 30 millions de données. C’est assez inédit pour des acteurs français.

Comment prévoyez-vous de renforcer les contrôles et garantir des mesures correctives ?

Il faut d’abord rappeler que, lors des contrôles, nous ne réalisons pas un audit à 360° de la sécurité informatique d’un organisme. Notre démarche consiste à évaluer spécifiquement la protection du fichier ou du système concerné. Par exemple, si l’on contrôle le système de vidéoprotection d’une grande enseigne, nous allons nous focaliser exclusivement là-dessus. En complément, nous produisons des recommandations et des outils dédiés à la sécurité et nous comptons renforcer ces actions dans les prochains mois.

Ce qui est certain, c’est que cette priorité s’inscrit pleinement dans notre plan stratégique, qui s’articule autour de plusieurs axes d’intervention : mettre à disposition des technologies protectrices de la vie privée, clarifier le cadre légal, fournir des recommandations et renforcer les contrôles. Notre attention se portera notamment sur les organismes qui manipulent un volume important de données. Et, de manière assez évidente, sur l’évaluation des mesures de remédiation mises en place après un incident. Mais il faut garder à l’esprit qu’il s’agit d’un plan stratégique établi sur quatre ans. Toutes ces actions s’inscrivent dans une temporalité moyenne, si ce n’est longue.

L’éducation au numérique a toujours été une priorité pour nous, cela mériterait d’être une grande cause nationale.

Pourquoi la protection des mineurs sur les plateformes est-elle devenue une priorité dans le nouveau plan stratégique de la CNIL ?

C’est un sujet de société qui prend de l’ampleur. Pour y répondre, nous avons créé un service dédié à la sensibilisation du public, chargé de l’éducation au numérique. Ce volet ne figurait pas dans notre précédent plan stratégique, mais nous avions déjà développé des ressources pédagogiques pour les enfants de 6 à 10 ans. Et cette année, nous allons publier de nouveaux supports à destination des collégiens, dont un manga. L’éducation au numérique a toujours été une priorité pour nous, cela mériterait d’être une grande cause nationale. Les cas de cyberharcèlement se multiplient, tout comme les violations de données impliquant des mineurs et les manipulations de l’information. Les jeunes sont particulièrement exposés, et en les formant, on crée une première digue contre l’atteinte à la vie privée ou les risques en matière de cybersécurité. Sensibiliser les jeunes permet de développer leur hygiène numérique, ce qui hausse le niveau global de sécurisation de la société.

Les usages explosent, et il est nécessaire de fournir tous les outils permettant aux enfants, aux parents et aux éducateurs de comprendre le fonctionnement d’Internet. L’idée n’est pas de véhiculer un discours anxiogène : Internet reste un espace d’opportunités, mais comporte aussi des risques. Chaque année, nous investissons des ressources importantes, un service a été mis en place pour avoir une capacité d’action systémique. Grâce aux efforts déployés depuis plusieurs années, nous pouvons pleinement intégrer cet enjeu à notre plan stratégique : nous avons recruté des experts, noué des partenariats avec tout un tas d’acteurs… Nous avons désormais les moyens de nos ambitions.

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 4501 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

DA06 INCYBER Collaborer avec des agents IA autonomes et libérer le potentiel de vos SecOps

DA06 INCYBER Collaborer avec des agents IA autonomes et libérer le potentiel de vos SecOps

artia13
Des Hackers écoutent vos appels | Actualité Cybersécurité

Des Hackers écoutent vos appels | Actualité Cybersécurité

artia13
L'avenir de l'Internet se décide au Brésil

L'avenir de l'Internet se décide au Brésil

artia13