L'autorité de protection des données personnelles vient, ce jeudi 16 janvier, de publier son plan stratégique pour 2025 - 2028. Celui-ci comporte quatre grands axes : intelligence artificielle, droits des mineurs, cybersécurité et usages du quotidien numérique.

L'IA en premier, mais en douceur

Mais le premier axe de la CNIL pour ces quatre prochaines années est bien l'IA, mais dans un rôle de promotion d' « une intelligence artificielle éthique et respectueuse des droits ». L'autorité semble être rassurée sur son rôle concernant l'IA en affichant cet objectif comme axe numéro 1 de ce plan. En effet, en 2023, elle luttait avec les différents comités mis en place par l'exécutif sur le sujet et poussait son expertise sur les enjeux de protection des données personnelles liés à l’IA. Elle mettait alors en avant sa volonté d'accompagner avant de contrôler, et semble n'avoir pas changé de logique quant à son rôle de contrôle et de sanction.

En effet, pas question, dans ce document en tout cas, de transformer la CNIL pour réguler l'IA générative, comme l'avaient suggéré des députés il y a un an. Les deux premiers objectifs de cet axe sont de « contribuer au partage de connaissances et d’expertise au sein de l’écosystème de l’IA » et de « clarifier le cadre juridique applicable et mettre en œuvre une régulation effective et équilibrée ». Vient ensuite la volonté de la CNIL de « sensibiliser le grand public aux enjeux de l’IA et le former à l’exercice de ses droits ».

• Pour réguler l’IA générative, des députés veulent transformer la CNIL

Vient seulement en quatrième objectif le fait de « contrôler la conformité des systèmes d’IA », avec d'abord la volonté de concevoir une méthodologie, puis de « participer à des opérations de contrôles conjointes avec les autorités de protection des données européennes » et enfin de « poursuivre les contrôles des dispositifs d’IA utilisés par l’État et les collectivités territoriales, en particulier dans le cadre de caméras augmentées ».

L’autorité présente plutôt l'intégration de l’IA dans son plan stratégique 2025 - 2028 comme « [s’inscrivant] dans le prolongement de travaux de fond de la CNIL (fiches pratiques, webinaires, colloques) destinés à clarifier le cadre légal, dialoguer avec l’écosystème et développer des capacités d’audit des systèmes ».

Protection des mineurs et « faire de chacun un acteur de la cybersécurité »

Dans son deuxième axe pour les quatre prochaines années, la CNIL veut se concentrer sur la protection des mineurs. Elle prévoit notamment d'augmenter sa présence « sur l’ensemble du territoire national pour sensibiliser le plus grand nombre aux questions de protection des données personnelles et recenser sur le terrain les besoins » et de développer des partenariats avec la communauté éducative, les associations, les collectivités locales et les médias dans les territoires.

Encore une fois, la CNIL met d'abord en avant sa mission de promotion des droits et d'un « usage responsable du numérique ». Le contrôle des opérateurs qui proposent des services en ligne au public mineur est le dernier objectif de cet axe.

Le renforcement de la cybersécurité sur le territoire constitue le troisième axe de ce plan. La CNIL se donne comme objectif notamment de « consolider la coopération et la coordination avec l’écosystème de la cybersécurité » en assurant une « application cohérente et harmonisée des nouveaux textes européens (NIS2, DORA, RIA) en matière de cybersécurité, en lien avec les autres régulateurs ». Elle continuera logiquement à accompagner les victimes de violations de données mais se donne aussi comme objectif de « contribuer au développement de solutions techniques protectrices de la vie privée ». Le renforcement du « respect des règles applicables en matière de sécurité par le contrôle et la sanction » vient aussi en quatrième objectif de cet axe.

Enfin, concernant les usages numériques du quotidien, l'autorité affiche sa volonté de poursuivre la mise en œuvre de son plan d’action « applications mobiles » pour protéger la vie privée des personnes. Elle continuera aussi son travail sur les systèmes d’identité numérique comme le portefeuille européen d’identité numérique (PEIN) ou les solutions de vérification d'identité et de vérification d'âge en ligne.