Logo du cabinet Mathias avocat : image cliquable pour retourner à la page d'accueil
CNIL : quels axes de contrôle pour 2025 ?
26 mars 2025

Comme chaque année, la Commission nationale de l’informatique et des libertés (CNIL) a publié ses thématiques de contrôle prioritaires.

Elles représentent environ un quart des contrôles de la CNIL effectués. La CNIL a défini quatre thématiques prioritaires pour 2025.

La collecte de données par le biais des applications mobiles

Les applications mobiles sont nombreuses et leur usage quotidien entraîne un traitement massif de données personnelles (bancaires, de géolocalisation, publicitaires, etc.). La CNIL annonce qu’elle mènera une série de contrôles auprès des acteurs de l’écosystème, notamment les éditeurs d’applications et les fournisseurs de kits de développement logiciel (Software Development Kit, SDK).

Ces vérifications s’inscrivent dans la continuité de la recommandation publiée par la CNIL le 24 septembre 2024 et porteront sur plusieurs aspects, tels que le paramétrage des SDK et la gestion des permissions d’accès aux données des téléphones.

Les contrôles concerneront aussi bien les acteurs privés que publics, tenant compte de l’essor des applications mobiles dans les services administratifs du quotidien. La CNIL veillera à ce que les traitements de données respectent les principes fondamentaux du Règlement général sur la protection des données (RGPD), notamment le principe de minimisation qui requiert que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

La cybersécurité des collectivités territoriales

Face à l’augmentation des cyberattaques et aux risques accrus de vol de données à caractère personnel, la CNIL renforce son action en matière de cybersécurité. En 2024, elle a reçu 5 629 notifications de violations, soit une hausse de 20 % par rapport à 2023.

Les collectivités territoriales, qui gèrent des données sensibles (état civil, prestations sociales, données financières), sont particulièrement vulnérables. La CNIL annonce qu’elle contrôlera les mesures mises en place pour protéger les données des usagers.

En parallèle, elle intensifiera ses actions de sensibilisation et d’accompagnement auprès des collectivités. Cette initiative s’inscrit dans son plan stratégique 2025-2028 et dans la préparation à l’entrée en vigueur de la directive NIS2, qui renforcera les exigences en matière de sécurité informatique et dont le projet de loi de transposition prévoit un accompagnement des collectivités locales.

Données traitées par l’administration pénitentiaire

Avec près de 77 800 personnes actuellement en détention en France, l’administration pénitentiaire gère des données sensibles via le fichier « GENESIS », utilisé pour le suivi et la sécurité des détenus. Ce traitement contient des informations liées à la vie en détention et à la réinsertion.

La CNIL annonce qu’elle contrôlera les conditions de traitement de ces données ainsi que les mesures de sécurité mises en place par les établissements pénitentiaires. Une attention particulière sera portée à la sécurisation des systèmes informatiques et des moyens de communication déployés.

Ces contrôles visent à garantir la protection des données des personnes incarcérées et à renforcer la conformité des établissements.

Droit à l’effacement des personnes concernées

Dans le cadre du cadre d’application coordonné, la CNIL et ses homologues européens vont mener des vérifications sur la mise en œuvre du droit à l’effacement ou « droit à l’oubli ». Ce droit permet à une personne de demander la suppression de ses données personnelles lorsque celles-ci ne sont plus nécessaires, traitées de manière illicite ou sans base légale valable. Toutefois, ce droit connaît des exceptions, notamment lorsque le traitement est requis pour l’exercice de la liberté d’expression, le respect d’une obligation légale, la recherche scientifique ou la défense de droits en justice.

Cette initiative vise à renforcer l’application effective de l’article 17 du RGPD et à améliorer la coordination entre les autorités de contrôle afin d’harmoniser les pratiques en Europe.

Des questions sur vos pratiques ? Sur vos projets ? MATHIAS AVOCATS vous accompagne dans le cadre de votre mise en conformité, de la gestion de vos risques ou pour sensibiliser et former vos équipes. Contactez nous !

Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !