La Commission nationale de l’informatique et des libertés tire une nouvelle fois le signal d’alarme et, pour bien se faire entendre, a décidé de hausser le ton. Après une année 2024 marquée par des fuites de données personnelles « d’une ampleur inédite », la Cnil va exiger davantage de garanties aux détenteurs de grandes bases de données.
Le régulateur, qui publie son rapport annuel ce mardi, va imposer aux entreprises et organismes publics qui détiennent des bases de données de plus de deux millions de personnes d’instaurer un système de double authentification, réputé plus fiable qu’un simple mot de passe. Tous les salariés, prestataires ou sous-traitants qui se connectent à distance à ces services devront non seulement s’identifier de façon classique mais également utiliser un autre moyen d’identification, comme un code reçu par SMS.
Une mauvaise tendance qui s’accélère
« Ce qui nous préoccupe, c’est que le nombre de violations qui concernent des bases de données de plus d’un million de personnes a doublé entre 2023 et 2024 », explique Marie-Laure Denis, à la tête de l’institution depuis 2019. Une tendance qui s’accélère puisque l’autorité chargée de la protection de la vie privée des Français a déjà relevé plus de 2.500 violations de données au premier trimestre 2025, soit près de la moitié de ce qu’elle a enregistré sur toute l’année 2024 (5.629).
Sa présidente estime que « 80 % des grandes violations de données » enregistrées l’an passé « auraient pu être évitées » avec la double authentification, couplée à la mise en place d’outils permettant de détecter des extractions massives de ces informations ou encore une plus grande sensibilisation des salariés. Parmi les organismes qui en ont été victimes : France Travail, l’opérateur Free, le groupe de grande distribution Auchan et les opérateurs du tiers payant Viamedis et Almerys.
Un serrage de vis en 2026
Après un temps d’adaptation, la patronne de la Cnil promet surtout des « contrôles massifs » dès 2026. L’an dernier, l’autorité a plus que doublé le nombre de sanctions prononcées, passant de 42 en 2023 à 87 en 2024, pour un montant total de 55,2 millions d’euros d’amendes. Le régulateur a également commencé à contrôler l’utilisation des données personnelles par les applications mobiles, sur le même principe que celui exigeant des sites Internet de proposer explicitement l’acceptation ou le refus des cookies tiers.
Notre dossier sur l’Intelligence artificielle
En parallèle, la Cnil a aussi placé l’intelligence artificielle au cœur de ses préoccupations. « On travaille beaucoup avec les acteurs (de l’IA) pour essayer de voir quelles technologies mettre en œuvre, pour qu’il y ait par exemple un filtre au moment de la régurgitation des données », indique Marie-Laure Denis, afin qu’une partie de celles-ci « puissent pouvoir être effacées ». Elle rappelle enfin : « Ne confiez pas à une IA ce que vous ne confieriez pas à quelqu’un que vous croiseriez dans la rue. »