Comment le plan stratégique 2025-2028 de la CNIL façonne l'avenir de la protection des données personnelles
La Commission Nationale de l'Informatique et des Libertés (CNIL) a récemment publié son plan stratégique pour les années 2025-2028, un document qui répond aux défis posés par l'évolution rapide des technologies numériques. Chez SILEXO, nous suivons ces évolutions avec attention pour accompagner nos clients dans leur conformité RGPD. Ce nouvel axe stratégique de la CNIL marque une étape importante pour renforcer la protection des données personnelles dans une société toujours plus numérique.
Un contexte technologique en mutation
L’essor de technologies comme l'intelligence artificielle (IA), l'Internet des objets (IoT), la réalité augmentée ou les systèmes d'identité numérique transforme profondément notre société. Ces avancées, bien qu'innovantes, soulèvent des questions en matière de vie privée, de cybersécurité et d’éthique.
Les chiffres parlent d’eux-mêmes :
En 2024, plus de 200 000 cas d’usurpation d’identité ont été recensés.
Les cyberattaques augmentent de manière croissantes, ciblant à la fois les grandes organisations et les particuliers.
Plus de 90 % des internautes accèdent au web via leur smartphone, soulignant l’importance de contrôler les applications mobiles.
À travers son plan stratégique, la CNIL affirme sa volonté de concilier innovation technologique et respect des droits fondamentaux. Les thématiques prioritaires pour les quatre prochaines années incluent :
L'intelligence artificielle, notamment l’IA générative et ses enjeux éthiques.
La cybersécurité, dans un contexte où les cyberattaques se multiplient.
La protection des mineurs, un public particulièrement vulnérable en ligne.
Les applications mobiles et les systèmes d'identité numérique, devenus centraux dans nos usages quotidiens.
Les axes clés du plan stratégique 2025-2028
La CNIL articule son action autour de quatre axes stratégiques principaux :
1. Promouvoir une IA éthique et respectueuse des droits
L’intelligence artificielle est aujourd’hui une technologie centrale qui transforme de nombreux secteurs, comme la santé, le transport, la finance ou l’éducation. Cependant, elle soulève des enjeux critiques :
Vie privée : Quelles données personnelles sont collectées et comment sont-elles utilisées ?
Cybersécurité : Comment limiter les vulnérabilités aux cyberattaques ?
Éthique : Comment réduire les biais algorithmiques et garantir des systèmes justes et inclusifs ?
L’IA générative, en particulier, pose des problèmes nouveaux, notamment avec la multiplication des faux contenus (hypertrucages), qui alimentent manipulation et désinformation.
Pour répondre à ces défis, la CNIL propose des mesures clés dans son plan stratégique :
Clarification du cadre juridique : Renforcer la sécurité juridique des acteurs (concepteurs, fournisseurs, utilisateurs) en clarifiant l’articulation entre le RGPD et le futur règlement européen sur l’IA. La CNIL joue également un rôle actif en promouvant les positions françaises auprès des instances européennes.
Contrôle et audit : Création d’outils pour vérifier la conformité des systèmes d’IA tout au long de leur cycle de vie. Des contrôles conjoints avec d’autres autorités européennes sont prévus.
Sensibilisation du public : Fournir des ressources pédagogiques pour aider les individus à comprendre le fonctionnement de l’IA, ses implications, et leurs droits.
Promotion de technologies respectueuses de la vie privée : Encourager l’adoption des PETs (Privacy Enhancing Technologies) pour protéger les données dès la conception.
Partage de connaissances : Renforcer la coopération avec les écosystèmes d’innovation, en collaborant avec chercheurs, startups et institutions.
2. Protéger les mineurs dans l’univers numérique
Face aux risques liés à l’hyperconnectivité, tels que le cyberharcèlement ou le ciblage publicitaire, la CNIL souhaite éduquer et accompagner les mineurs, leurs parents et les éducateurs. Elle prévoit également de renforcer les contrôles des plateformes utilisées par les jeunes.
Parmi les mesures annoncées :
Des outils pédagogiques co-construits avec les jeunes.
Une meilleure transparence des services à destination des mineurs.
Des sanctions accrues envers les plateformes ne respectant pas leurs obligations.
3. Renforcer la cybersécurité
Avec la multiplication des violations de données, la CNIL entend promouvoir une culture de la sécurité numérique et accompagner les organisations dans la mise en place de solutions innovantes et résilientes.
Les priorités identifiées incluent :
La coordination avec d’autres autorités pour une application cohérente des nouvelles réglementations (NIS2, DORA).
La création de solutions techniques pour protéger la vie privée par conception.
L’accompagnement des victimes de cyberattaques et la mise à disposition de ressources pédagogiques accessibles.
4. Cibler les usages numériques du quotidien
En poursuivant ses actions sur les applications mobiles et l'identité numérique, la CNIL veut sensibiliser les utilisateurs et garantir la conformité des systèmes.
Ce volet inclut :
La révision des recommandations pour les applications mobiles.
Le contrôle des systèmes d’identité numérique pour assurer leur sécurité et leur respect des règles de protection des données.
Un impact concret pour les organisations
Ce plan stratégique implique des responsabilités accrues pour les entreprises et les administrations. Les obligations issues des réglementations européennes, comme le règlement sur l’IA ou la directive NIS2, exigent une adaptation rapide des pratiques. Chez SILEXO, nous accompagnons nos clients dans cette transition :
Diagnostic de conformité : évaluation des risques et des pratiques.
Mise en place de solutions techniques et organisationnelles : adoption de technologies conformes aux exigences de protection des données.
Formation et sensibilisation : pour faire de chaque collaborateur un acteur de la protection des données.
Conclusion
Le plan stratégique 2025-2028 de la CNIL réaffirme son rôle de garant des droits à l'ère numérique. Ces orientations offrent aux organisations l'opportunité d'améliorer leurs pratiques et de renforcer la confiance de leurs utilisateurs.
Le logiciel RGPD du DPO
Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.
Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.
