| La CNIL a annoncé son programme de contrôle pour 2025 qui détermine les thématiques prioritaires annuelles. Pour rappel, un quart des contrôles de la CNIL s’inscrit dans le cadre des thématiques définies. Dans cet article, Caroline Belotti, avocate associée en droit des nouvelles technologies et DPO certifiée et Chloé Pinon, assistante juridique présentent les thématiques prioritaires de contrôle retenues par la CNIL pour 2025 en lien avec la cybersécurité. |
Les 4 thèmes de contrôle prioritaires en 2025
Cette année, les quatre thématiques portent sur :
- Un dispositif de plus en plus utilisé dans la sphère digitale : les applications mobiles
- Les mesures de cybersécurité déployées au sein des collectivités territoriales dans le prolongement de la vague de cyber attaques qui a touché un grand nombre d’entre elles
- Le traitement des données dans les établissements pénitentiaires
- Le respect des demandes de droit d’effacement.
Données personnelles et applications mobiles : contrôle des éditeurs et fournisseurs de SDK
Une trentaine d’applications mobiles sont téléchargées par an en moyenne et représentent la première source de traitement massif de données personnelles.
Différents acteurs de l’écosystème, publics ou privés, comme les éditeurs d’applications et des fournisseurs de SDK (software development kit) seront contrôlés.
Le choix de faire des applications mobiles l’une des thématiques prioritaires était prévisible au regard de la publication des recommandations sur les applications mobiles en septembre 2024 et de nombreux articles notamment sur la gestion des permissions et des SDK.
Directive NIS2 : la cybersécurité des collectivités territoriales
Dans la continuité de son plan stratégique 2025-2028, la CNIL priorise la cybersécurité des collectivités territoriales au regard du nombre de notifications de violation de données qui a bondi de 20% en 2024.
Les collectivités territoriales traitent un grand volume de données, dont certaines sensibles.
La CNIL a également annoncé préparer l’entrée en vigueur de la directive NIS2 tout en menant des actions de sensibilisation et d’accompagnement des collectivités territoriales sur cette thématique. Adoptée par l’Union Européenne en janvier 2023, cette directive vise à renforcer le niveau de cybersécurité des Etats membres face à l’augmentation de cybermenaces.
Traitement et sécurisation des données par l’administration pénitentiaire
La CNIL se concentrera sur le traitement informatisé dénommé GENESIS (Gestion Nationale des personnes Ecrouées pour le Suivi Individualisé et la Sécurité) qui contient de nombreuses informations sensibles liées à la gestion de la vie en détention et à la réinsertion des 77 800 personnes en détention.
Pour rappel, GENESIS a été créé en 2014 à la demande du ministère de la justice, lui-même rappelé à l’ordre en novembre 2024.
La sécurisation des installations informatiques et des moyens de communication de l’administration pénitentiaire fera également l’objet de contrôles.
Droit à l’effacement : la conformité des entreprises au RGPD
Le droit à l’effacement est l’un des droits les plus fréquemment exercés. Ce droit constitue un moyen de maitriser ses données. Les responsables de traitements ont l’obligation de répondre à ces demandes en vertu des articles 12 et 17 du RGPD. Pourtant, en 2024, 34% des plaintes reçues par la CNIL concernait le droit à l’effacement.
Le contrôle des entreprises concernant la mise en œuvre du droit à l’effacement avait été annoncé par le CEPD la semaine dernière. Sans surprise, la CNIL a déclaré suivre cette campagne de contrôle dans le cadre du CEF (Coordinated Enforcement Framework).
Un rapport sur les résultats de cette campagne sera publié.
L'accompagnement TGS France Avocats
Nos avocats en droit des nouvelles technologies et données personnelles vous accompagnent dans vos démarches de conformité et en cas de contrôle.
Voir plus de commentaires