En France, des fuites massives de données… par manque de « mesures élémentaires »

Triste constat…

Cela ne surprendra personne, mais 2024 était une année noire pour les données personnelles. La CNIL parle de « violations de données d’une ampleur inédite », que ce soit en nombre ou en volume. La Commission détaille le schéma classique des fuites, qui n’a rien d’exceptionnel. 2025 est une année de contrôle des applications mobiles.

Sébastien Gavois

Le 29 avril à 12h04

8 min

Sécurité

La CNIL vient de publier son rapport annuel 2024, une année marquée par de nombreuses fuites de données et incidents de cybersécurité. L’ANSSI avait déjà exposé cette problématique dans son panorama de la cybersécurité.

Les deux vont dans le même sens : il ne fait pas bon être une donnée personnelle en 2024… et Internet devient de plus en plus un annuaire à ciel ouvert. Les données de dizaines de millions de Français sont, en effet, exposées au quatre vents, y compris parfois des informations bancaires.

[Édito] Internet, un annuaire des Français à ciel ouvert

L’année 2024 était articulée autour de quatre thématiques prioritaires pour la Commission nationale de l'informatique et des libertés : la collecte de données dans le cadre des Jeux olympiques et paralympiques, les données des mineurs collectées en ligne, les programmes de fidélité et tickets de caisse dématérialisé, et enfin le droit d’accès des personnes. Elles représentaient 30 % des contrôles.

Deux fois plus de sanctions

Comme dans tout bilan qui se respecte, il est question de quelques chiffres marquants sur l’année 2024. La Commission a effectué 321 contrôles (166 sur site, 99 en ligne, 44 sur pièces, 12 sur audition), prononcé 180 mises en demeure, 64 rappels aux obligations légales et 87 sanctions.

Il reste 83% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (18)

bansan Abonné

Le 29/04/2025 à 13h00

J'entendais ce matin que la CNIL allait imposé en 2026 la double authentification pour la connexion aux "très grosses" bases de données. Au stade actuel, c'est une simple recommandation.

fred42 Abonné

Le 29/04/2025 à 13h20

France info écrit :

Pour faire face à ce phénomène, la Cnil va publier une recommandation cette semaine pour exiger la double authentification à partir de 2026 : "Les salariés, les partenaires, les sous-traitants qui se connectent à distance à une très grosse base de données, de plusieurs millions de personnes, devront être obligés de fournir un facteur d'identité supplémentaire, au-delà du mot de passe".

Il s'agira d'une recommandation. Je ne crois pas que la CNIL puisse imposer quelque chose, à ma connaissance, elle ne peut faire que des recommandations (droit souple). Ni l'article 57 (Missions) ni l'article 58 (pouvoirs) ne lui permettent d'imposer quelque chose.

Donc une recommandation pour exiger, c'est assez antinomique !

Par contre, elle sanctionnera probablement sévèrement si cette recommandation n'est pas suivie.

SebGF Abonné

Le 29/04/2025 à 13h35

Donc une recommandation pour exiger, c'est assez antinomique !

En effet !

Mais oui, ce genre de chose pourra devenir un prérequis d'architecture pour les SI. Comme par exemple le fait qu'une interface d'admin exige obligatoirement un MFA.

Par contre, elle sanctionnera probablement sévèrement si cette recommandation n'est pas suivie.

Fort probable. Probable aussi que ça s'harmonise via l'EDBP comme critère de non conformité.

ForceRouge Abonné

Le 29/04/2025 à 13h34

A partir du moment où nos infos ont été leaké depuis 1 site, c'est fini. Et je pense qu'on peut donc considéré que les infos "basiques" (nom, prénom, tel, email, addresse, numéro de sécu, etc...) sont déjà dans la nature. Alors à quoi bon se battre?

Concrètement, je doit être inscrit sur 50 à 100 sites (si je regarde vite fait mon gestionnaire de mots de passe). Croire qu'il est possible de sécuriser ces sites de tels sortent qu'ils n'auront jamais de leak, c'est utopique.

Il faut considérer que si nos infos n'ont jamais été leak, elles se seront de toute façon demain.

C'est donc bien évidement à nous de ne jamais donner plus d'info perso que nécessaire, et même de donner de fausses infos chaque fois que c'est possible. Mon adresse email doit-être associé avec une trentaine de nom/prénom/adresses bidons. Sur les "petits" sites marchand plus sensible aux leak, on peut aussi modifier légèrement (faute de typo volontaire) son nom et son prénom.
Autrement dit, il faut inonder Internet de fausses infos nous concernant pour que la vérité soit noyée.

Je me permets une question hors sujet si quelqu'un d'informé passe par là: est-ce que Next fait bien parti du dispositif de réduction d'impot? (https://next.ink/brief_article/credit-dimpot-pour-le-premier-abonnement-a-un-journal-cest-parti/)

cognitys Abonné

Le 29/04/2025 à 14h16

oui plus facile à dire qu'a faire.... cette semaine je recois un mail de INDIGO (gestionnaire parking) , nom, prenom, adresse, email, telephone, plaque d'immatriculation et iban dans la nature... comment faire ? ne plus se garer ? ps: indigo allez vous faire f

serpolet Abonné

Le 29/04/2025 à 14h54

Voir cet article (si pas encore vu) :
https://next.ink/brief_article/stationnement-vol-de-donnees-au-sein-du-groupe-indigo/

ForceRouge Abonné

Le 29/04/2025 à 15h11

Nom et prénom avec une faute de typo. Adresse postal bidon, et payer en CB plutôt qu'IBAN (les prestataires ne gardent que des tokens qui n'ont aucune valeur pour un voleur)

Hoglya Abonné

Le 29/04/2025 à 16h56

Il y a la solution des fausse informations et aussi des alias.
Souvent les gens n'ont qu'une adresse mail, gmail ou outlook qui est utilisé pour la plupart des comptes.
Des services comme duckduckgo ou simplelogin (maintenant racheté par Proton) proposent un service d'alias de mail permettant de cacher notre adresse réelle. Plutôt pratique.

Patch Abonné

Le 30/04/2025 à 09h46

Gmail gère aussi parfaitement les alias (avec un mail en mail(at)gmail.com on peut mettre mail+(l'aliasqu'onaenviedemettre)(at)gmail.com).

fdorin Abonné

Le 30/04/2025 à 09h55

Attention, ce n'est pas des alias à proprement parlé, mais du sub-addressing (ou plus-addressing on voit les deux).

La grosse différence entre un alias et le sub-addressing, c'est qu'avec le sub-addressing, on peut extraire le véritable e-mail, contrairement à l'alias.

Autrement dit : le sub-adressing ne cache pas l'adresse e-mail.

Tanyuu Abonné

Le 30/04/2025 à 10h00

J'utilisais cette technique avant mais certains sites codés avec les pieds n'acceptaient pas d'adresse avec un +
En plus de ne pas réellement cacher l'adresse, comme tu dis. Bon, je doute que les voleurs de données personnelles s'amusent à extraire la vraie adresse en retirant ce qu'il y a entre le + et le @ mais c'est tellement facile à faire qu'on sait jamais...

aware2 Abonné

Modifié le 29/04/2025 à 16h32

Malheureusement il va falloir vivre avec toutes ces fuites et limiter les risques.
Pour les mails c'est réglé avec les alias (484 actuellement sur SimpleLogin/Proton Pass

).

Pour le numéro de téléphone, pas de solution malheureusement, à part limiter les endroits où on le renseigne. Il existe des solutions comme pour les alias aux US et UK, mais pour l'instant rien ici.

Hoglya Abonné

Le 29/04/2025 à 16h58

Exacte pour le téléphone. Je cherche désespérément une solution de type MySudo qui est disponible aux US mais pas en Europe.

typhoe Abonné

Le 29/04/2025 à 18h40

Pareil, je suis preneur si une solution existe ici... Même discord demande le tel pour "sécuriser" le compte sur certains serveurs... Et puis quoi encore !

Mihashi Abonné

Modifié le 30/04/2025 à 13h48

Perso, j'ai une seconde carte SIM avec forfait à 2 €/mois que j'utilise pour ce genre de cas…
(Et tous les messages/appels (sauf en cas d'action de ma part) sur cette SIM sont bloqués/ignorés.)

Azdhar64 Abonné

Modifié le 07/05/2025 à 00h56

Chez quel opérateur as-tu ton forfait ? Je cherche à faire la même chose.

Mihashi Abonné

Le 07/05/2025 à 12h12

Chez Free.

Ferrex Abonné

Le 30/04/2025 à 11h46

J'avais vu un message sur le compte fediverse de SimpleLogin qu'ils travaillaient sur une solution d'alias téléphonique mais que c'était super compliqué. Et évidemment, je veux sourcer mon message et je ne trouve plus le message. J'éditera le message si j'y pense.