Les contrôles à venir de la Cnil : les apps, les collectivités territoriales et le droit à l’effacement

En 2025, la Cnil annonce qu’elle concentrera ses contrôles sur les données collectées par les applications mobiles, la cyber sécurité des collectivités territoriales et les traitements de données par l’administration pénitentiaire. La Cnil va aussi procéder à des vérifications sur les conditions de mise en œuvre du droit à l’effacement. Elle justifie cette dernière action afin d’harmoniser l’application effective du RGPD et la coordination entre les autorités de contrôle en Europe.

Un quart des contrôles de l’année 2025

Les actions programmées de la Cnil représentent environ un quart de ses contrôles dans l’année à venir et ils s’inscrivent dans le cadre de thématiques prioritaires annuelles qu’elle définit. La Cnil a mené 321 contrôles en 2024. Ces centaines de contrôles font suite à des plaintes, à de précédentes mesures correctrices, à des signalements de violations de données ou ils sont en lien avec l’actualité.

En ce qui concerne la collecte de données par le biais des applications mobiles, la Cnil retient que les Français téléchargent une trentaine d’applications mobiles par an. Ces apps mobiles sont devenues le premier usage numérique au quotidien. Elles sont une source de traitement massif de données personnelles qu’il s’agisse des données bancaires, de la géo-localisation, de données publicitaires, etc.

La Cnil mènera cette année une série de contrôles des différents acteurs de l’écosystème des applications mobiles, en particulier les éditeurs d’applications et les fournisseurs de kits de développement logiciel (les SDK). Les vérifications porteront essentiellement sur le paramétrage des SDK ainsi que les accès aux données du téléphone via la gestion des permissions ou « autorisations. Ces contrôles concerneront aussi bien les acteurs privés que publics, car il y a une multiplication des services publics proposant une application mobile pour des tâches administratives du quotidien.

Les collectivités territoriales sont particulièrement vulnérables

D’autre part, la Cnil pointe que ces dernières années ont été marquées par de nombreuses attaques informatiques impliquant les données personnelles bancaires ou de santé, d’une grande partie de la population. La Cnil a reçu 5 629 notifications de violation de données en 2024, c’est 20 % de plus qu’en 2023. Les collectivités territoriales sont particulièrement vulnérables. Cela concerne les communes, les départements et les régions.

De plus, les collectivités traitent un grand nombre de données, pour certaines sensibles comme la gestion de l’état civil des usagers, le versement de prestations sociales, des données financières, ou des services en ligne de paiement de contraventions. La Cnil va contrôler les mesures mises en œuvre par les collectivités territoriales afin de protéger les données des usagers. En parallèle de ces contrôles, la Cnil va renforcer son action en vue de sensibiliser et d’accompagner les collectivités territoriales en matière de cybersécurité.

La Cnil souhaite ainsi préparer l’entrée en application de la directive NIS2, en cours de transposition, qui prévoit une montée en compétences et des exigences nouvelles pour les collectivités territoriales en matière de sécurité informatique.

Protection des données des personnes incarcérées

Enfin, en ce qui concerne les données traitées par l’administration pénitentiaire, lors de ses investigations, la Cnil vérifiera les conditions de traitement des données des personnes incarcérées ainsi que l’ensemble des mesures de sécurité mises en place par les établissements. Les établissements pénitentiaires doivent veiller de manière accrue à la sécurisation de leurs installations informatiques et des moyens de communication qui y sont déployés.

La Cnil rappelle que 77 800 personnes sont aujourd’hui en détention en France selon le ministère de la Justice.  L’ensemble des informations relatives aux personnes faisant l’objet d’une mesure restrictive ou privative de liberté sont répertoriées au sein du traitement informatisé de « Gestion nationale des personnes écrouées pour le suivi individualisé et la sécurité » (« GENESIS »). Il contient notamment des informations particulièrement sensibles liées à la gestion de la vie en détention et la réinsertion de ces personnes.