S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

80 % des violations de données auraient pu être évitées, déplore la présidente de la CNIL

RGPD comme un cap

80 % des violations de données auraient pu être évitées, déplore la présidente de la CNIL

Auditionnée à l’Assemblée, la présidente de la CNIL souligne l’accroissement « sans précédent » de ses missions et du volume de ses activités, alors que son budget est « resté stable ». Elle estime que le nombre de violations de données (« près de 6 000 » en 2024) « devrait au moins doubler en 2025 », mais également que 80 % auraient pu être évitées avec l’authentification multifacteur.

Le 27 janvier à 08h45

Régulièrement taxé de laxisme, notamment depuis la réapparition de la place de marché (noir) BreachForums en décembre dernier, et l’annonce de très nombreuses violations de données en 2025, le « gendarme des données personnelles » peine à faire respecter son code de la route.

La CNIL a en effet reçu « près de 6 000 » notifications de violations de données en 2024, « soit 20 % de plus qu’en 2023, et ce chiffre devrait au moins doubler en 2025 », a déclaré Marie-Laure Denis, présidente de la CNIL, lors de son audition à la commission des lois de l’Assemblée, mi-décembre :

« L’intensification de cette menace se reflète aussi dans l’ampleur des violations, qui touche désormais des secteurs de taille importante, dont certains interviennent dans la vie quotidienne des Français – France Travail, certaines fédérations sportives, ou encore des opérateurs de téléphonie. »

« Indépendamment de l’augmentation du nombre de violations de données (+ 20 %) nous sommes préoccupés par l’augmentation du nombre de personnes concernées » ainsi que, pour les entreprises, par le « risque de devoir cesser leur activité », poursuivait-elle : « Il ne faut vraiment pas minimiser les conséquences de ces sujets. D’ailleurs, le sujet de la cybersécurité représente l’un des axes stratégiques de la CNIL pour la période 2025 - 2028 ».

« Nous agissons en amont, en imposant par exemple l’authentification multifacteurs pour les accès à distance aux grandes bases de données dès le 1er janvier 2026 », précisait-elle : « nous estimons que 80 % des grandes violations de 2024 auraient pu être évitées avec cette mesure », qu’elle avait déjà qualifiée d’ « élémentaire » dans son rapport 2024.

Les équipes de la CNIL agissent aussi « pendant les violations, en apportant des conseils de premier niveau aux personnes, aux sociétés, aux administrations qui nous notifient une violation de données, en tout cas pour celles qui ne sont pas en lien avec l’Anssi » :

« Nous transmettons, le cas échéant, ces informations au parquet compétent. Enfin, nous sanctionnons : 15 % des sanctions prononcées par la CNIL qui comportent au moins un manquement à des obligations de sécurité et six dossiers importants de manquement à la sécurité ont été transmis à notre formation restreinte pour des décisions attendues au premier semestre 2026. »

Un budget « resté stable » malgré un « accroissement sans précédent » de ses missions

La présidente de la CNIL relevait également que « son budget est resté stable entre 2024 et 2025, et le nombre de ses agents a peu varié », alors que, et au-delà de cette explosion des notifications de violations de données, ses missions ont, dans le même temps, « connu un accroissement sans précédent, principalement en raison de textes européens ».

Il reste 72% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (15)

votre avatar
Beaucoup auraient pu être évitées, mais, hélas, il faut voir l'envers du décor sur les projets IT.

Quand tu passes ton temps à entendre "non", "pas le budget", "pas le temps", "ça sera dans un prochain lot" (qui ne verra jamais le jour), pour moi y'a rien d'étonnant à ce que les entreprises tombent toutes une par une.
votre avatar
Terriblement vrai, pour ce que j'en vois au travail :/
votre avatar
Rajoute à cela le laxisme de la CNIL, les responsables de traitement non aucun intérêt direct à sécuriser les choses malheureusement. Le seul intérêt qu'ils ont, c'est une question d'image (et encore, valable que pour les entreprises, quand c'est un service public incontournable comme l'URSSAF, ils s'en foutent encore plus).

Le truc qui me parait incroyable aussi dans cet histoire, c'est le financement de la CNIL. C'est un des rares services qui pourrait s'autofinancer sans aucun problème (=ne coûtant rien aux contribuables) tout en rapportant de l'argent à l'Etat (et pas qu'un peu).

Mais non, continuons de lui donner de plus en plus de mission, sans augmenter ses moyens...
votre avatar
Je partage ton point de vue sur l'intérêt des entreprises pour qui le profit est plus important. Mais la réglementation ne peut malheureusement pas changer le système de pensée pilier de notre civilisation, prénommé profit.
Si c'était le cas, cela se saurait, nous n'aurions plus de viol, ni de violence qui est condamné dans tous les pays.

Par contre, ton argument sur le financement de la CNIL est mauvais. Que dirais-tu si les infractions au code de la route permettait de financer la police ?
On ne peut donner au contrôleur le fruit de ses contrôles, sinon cela revient à autoriser la corruption comme à l'époque des collecteurs d'impôts des livres d'histoire.
Il faut certainement augmenter ses moyens mais quand on décide de financer la défense, il faut faire des choix.
votre avatar
Par contre, ton argument sur le financement de la CNIL est mauvais
Je précise mon propos : je ne dis pas que la CNIL devrait récupérer directement l'argent et donner le reste à l'Etat. L'Etat récupère de l'argent par la CNIL, et c'est l'Etat qui augmente le budget de la CNIL (rien de déconnant, surtout que le nombre de ses missions ne fait qu'augmenter).

Au final, la CNIL est une institution qui peut rapporter beaucoup plus que ce qu'elle coûte (c'était ce que j'entendais par "autofinancer"). Ne pas augmenter son budget de fonctionnement est donc incompréhensible à mes yeux.
votre avatar
La CNIL pourrait se montrer plus virulente, certainement. Après, concernant l'autofinancement, il ne faut pas trop en demander quand même. Je ne suis pas fan de la politique du chiffre qui risquerait de biaiser la mission. Qui plus est, le but reste que les entreprises soient conformes au RGPD, pas de détruire le tissu économique français. (on parle d'un budget de 25 millions d'euros quand même)

C'est un équilibre plutôt complexe à trouver, et il ne faut pas regarder la simple valeur du chiffre d'affaires ni se faire avoir par un effet de loupe sur les grands groupes qui défilé l'année dernière et continuent la valse cette année.

Pour reprendre mon propos sur les projets au raz des pâquerettes, ce n'est pas que de l'incompétence. Ce sont aussi des arbitrages : la boîte a beau faire 500 millions d'euros de CA (chiffre au pif), quand elle a 4 millions de pertes, elle est contrainte à des choix.

Hors, parmi ces arbitrages, les exigences non fonctionnelles se voient vite sabrées par une acceptation du risque. L'acceptation de se mettre dans l'illégalité est plus fréquente qu'on peut l'imaginer, d'ailleurs.
votre avatar
Qui plus est, le but reste que les entreprises soient conformes au RGPD, pas de détruire le tissu économique français. (on parle d'un budget de 25 millions d'euros quand même)
Il ne faut pas se leurrer. Tant qu'il n'y aura pas une vraie crainte de la sanction, elles ne bougeront pas pour la plupart.

L'indicateur assez fort je trouve, c'est tous les grands groupes, qui ont les moyens de, et qui se font malgré tout condamner pour des choses qui sont pourtant considérées comme étant la base (l'état de l'art).

Quand à la politique du chiffre, j'ai précisé ma pensée dans ce commentaire, car j'avais fais preuve d'une certaine maladresse dans mon premier commentaire.
Ce sont aussi des arbitrages : la boîte a beau faire 500 millions d'euros de CA (chiffre au pif), quand elle a 4 millions de pertes, elle est contrainte à des choix.
Ben ça, autant je peux comprendre le besoin d'arbitrage, autant cette justification non. Il y a une réglementation à respecter. Ce n'est pas parce que la société affiche des pertes que l'on peut se permettre un laxisme dans la sécurité et le respect de la réglementation.
votre avatar
J'explique les raisons, hein. Tu te doutes bien que je ne les partage pas.

Mais c'est la réalité des entreprises. Même sur de la fisca j'ai vu des arbitrages tout simplement parce que la proba de se faire chopper est faible ou l'amende inférieure au coût de mise en conformité (et j'ai vu passer des chiffrages à coup de 2, 3, voire 500k € - ceux que je vois passer pour la facture électronique titillent la carlingue de l'ISS aussi).

Pourtant, en face, c'est Bercy et pas le baton mou de la CNIL.
votre avatar
Exactement.
Le discours & les actes.
L'asso-purr en sait quelque chose. Les interviews de Aeris sont très instructives.
votre avatar
Je vous ai connus plus subtils sur les sous-titres :/
votre avatar
C'est vrai (c'était évidemment pas malintentionné, mais si on doit expliquer pourquoi, c'est que c'est raté), corrigé, désolé pour ça
votre avatar
Je m'étais permis ce jeu de mot après avoir découvert que l'expression "pédé comme un foc" (et non "comme un phoque") fait référence aux coups de mât dans une petite voile à l’avant d’un voilier poussé par un vent arrière, en mode "RGPD comme un cap", mais je note que cela a été mal compris, ce pourquoi le sous-titre a donc été modifié.
votre avatar
:inpactitude:
votre avatar
Le problème du sous-titre n'était pas le mot foc mais le mot pédé qui n'était pas écrit mais néanmoins présent phonétiquement dans l'expression complète.

Et c'est quand même dommage d'être obligé de l'expliquer ici.

J'ai pourtant essayé d'être discret ce matin en signalant le problème par "signaler une erreur" avant le commentaire ci-dessus.

Mais comme vous éprouvez le besoin de vous justifier au lieu de faire profil bas, je me sens obligé de mettre les points sur les i.

J'ai eu toute ma lecture de l'article perturbée à cause de ce sous-titre et pourtant ça fait partie des sujets que j'aime lire !

Pour finir, le nouveau sous-titre ne veut rien dire, sauf peut-être : "je persiste".
votre avatar
80 % des violations de données auraient pu être évitées, déplore la présidente de la CNIL avant de se rendormir en attendant sa prochaine séance d'aquaponey
:cap:

80 % des violations de données auraient pu être évitées, déplore la présidente de la CNIL

  • Un budget « resté stable » malgré un « accroissement sans précédent » de ses missions

  • 1,1 milliard d'euros d'amendes depuis 2018

  • 7 000 plaintes par an avant le RGPD, plus de 23 000 l'an passé

  • Les services régaliens semblent partagés sur l'atteinte au chiffrement

  • « Nous ne sommes pas hostiles par principe à l’idée d’ajuster le RGPD »

  • L'« effet Bruxelles », où comment l'Europe gouverne le monde