Après une année 2024 marquée par de nombreuses fuites de données, de Free à Boulanger, Cultura ou encore Truffaut, la Cnil veut être proactive. Quitte à manier davantage le bâton. Le gardien des données personnelles français vient ainsi d’annoncer avoir fait de la cybersécurité l’un de ses quatre axes de travail de son plan stratégique 2025-2028. L’intelligence artificielle, les mineurs et les applications mobiles sont également au programme.
“En coopération avec l’écosystème de la cybersécurité (Anssi, Cybermalveillance…), la Cnil s’assurera que les organismes prennent des mesures de protection adaptées et sensibilisera les individus aux risques pour qu’ils soient mieux protégés contre les conséquences des menaces cyber”, résume l’autorité administrative indépendante.
Le précédent plan se focalisait sur la maîtrise et le respect des droits de personnes, la promotion du règlement général sur la protection des données et les actions de régulation “sur des sujets à fort enjeu pour la vie privée”.
Plus de contrôles
Concrètement, le nouveau plan stratégique de la Cnil prévoit quatre actions sur le champ de la cybersécurité. Dont tout un volet répressif, assez attendu chez certains professionnels de sécurité jugeant l’état de l’art dans les organisations encore loin du compte. Ainsi, le gardien des données personnelles prévoit de “renforcer le respect des règles applicables en matière de sécurité par le contrôle et la sanction”.
La Cnil veut “accroître les opérations de contrôle à l’issue de violations de données pour vérifier la mise en œuvre de mesures correctives adaptées”. De même, elle veut “assurer une coordination de l’action répressive (contrôle et sanction) avec les autres autorités compétentes”. Et enfin “réévaluer les recommandations de la Cnil en matière de sécurité en s’appuyant sur le bilan des contrôles réalisés et des notifications de violations de données”.
Après le bâton, la carotte. Les troupes de Marie-Laure Denis veulent également “consolider la coopération et la coordination avec l’écosystème de la cybersécurité”. Il s’agit ici d’assurer “une application cohérente et harmonisée” des nouveaux textes européens, à la fois en travaillant avec les acteurs pour la conception d’outils et en étant vigilant sur l’intégration des nouvelles obligations.
Aider au développement d’outils vertueux
Ensuite, la Cnil veut “accompagner les individus et les organismes face aux violations de données“. Le gardien des données personnelles veut ainsi “promouvoir, sur le terrain, une culture de la sécurité”. Une manière d’aider le public à identifier “les principaux risques” à adopter “les réflexes essentiels”. Cela devrait passer par des “ressources pédagogiques adaptées”.
Le dernier chantier sera enfin relatif au développement de solutions techniques protectrices de la vie privée.
La Cnil veut ici soutenir la mise en place de solutions technologiques innovantes de sécurité, en encourageant le développement d’outils vertueux “du point de vue de la protection de la vie privée”.
Crédit photo: Cyril Cavalié.