Publié le 29 avril dernier, le rapport annuel 2024 de la CNIL dresse essentiellement les mêmes constats que le dispositif « Cybermalveillance.gouv », soit une augmentation grandissante des cyberattaques, dont les acteurs du domaine de l’assurance ne sont pas épargnés.
Il faut donc dire que la publication quelques jours auparavant de la version finale de sa recommandation relative à l’authentification multifacteur (dite MFA pour Multi-factor authentication) tombe à pic ; recommandation dont l’élaboration, pour mémoire, fait suite à une consultation publique où différents acteurs étaient invités à partager leurs questions, leurs suggestions et leurs pratiques internes au sein de leurs organismes.
La MFA est un procédé qui permet un niveau de sécurité élevé quant à l’accès aux données personnelles des personnes concernées. Elle propose de vérifier la preuve de l’identité de la personne souhaitant accéder à ses données personnelles.
Exemple : en cas de cyberattaque ou de fuite de données
La CNIL a publié fin janvier et début février deux bilans concomitants : l’un portant sur les violations de données personnelles, l’autre sur les sanctions et mesures correctrices appliquées au cours de l’année. Ces deux rapports offrent une vision complète des enjeux de protection des données en France et permettent d’en tirer des enseignements cruciaux pour vos organismes.
Le bilan des violations de données révèle une hausse de 20 % des incidents signalés, atteignant 5 629 cas en 2024. Parmi eux, les atteintes touchant plus d’un million de personnes ont doublé, impliquant des acteurs tels que les opérateurs de tiers payant, France Travail et Free. Cette augmentation met en évidence des failles systémiques et une exposition accrue aux cyberattaques.
Le Conseil d’État a rendu le 27 janvier dernier, une décision clé sur le droit à l’effacement et d’opposition des données de santé. Dans les faits, une personne concernée a demandé l’effacement de ses données personnelles auprès d’un organisme de santé par sommation interpellative émanant d’un huissier. L’organisme ayant refusé, l’affaire a été portée devant la CNIL par deux plaintes, puis devant le Conseil d’État.
La CNIL a rappelé qu’avant de la saisir, une personne concernée doit d’abord adresser sa demande directement au responsable du traitement. Elle a souligné que le droit à l’effacement des données de santé n’est pas absolu et peut être limité par des motifs d’intérêt public, comme la recherche scientifique ou la gestion sanitaire.
Le 31 janvier 2025, la CNIL a publié un guide portant sur les Analyse d’Impacts des Données (AITD) à la suite d’une consultation publique où tout acteur concerné était invité à échanger au sujet des transferts de données à des sous-traitants se trouvant hors de l’Union européenne.
Le principe défini par le RGPD instaure la nécessité, pour les responsables de traitements ayant recours à des sous-traitants en dehors de l’Union européenne, de s’assurer d’un cadre légal équivalent à celui du RGPD.
Ainsi, ce guide précise les moyens mis en place par le RGPD (clauses contractuelles type, décision d’adéquation du pays hors UE ou dérogation particulière listé à l’article 49) pour transférer des données hors de l’Union européenne.
Le 16 janvier 2025, la CNIL a dévoilé le plan stratégique de ses objectifs pour les années à venir, s’articulant autour de 4 grands axes prioritaires tenant compte des évolutions et nouvelles technologies développées ces dernières années, de ses prévisions et des plaintes déposées :
Malgré la promulgation de l’IA Act le 1er août 2024, il est difficile d’encadrer légalement au plan national ou international cette technologie qui est à la fois omniprésente et en constante évolution.
Dans son grand axe dédié à l’intelligence artificielle, la CNIL évoque dès lors sa volonté de comprendre les enjeux de l’émergence de l’IA dans nos usages quotidiens pouvant entrainer des atteintes aux données personnelles des utilisateurs.
Dans un premier temps, elle souhaite ainsi continuer à sensibiliser les usagers quant aux enjeux mais aussi les accompagner dans l’exercices de leurs droits dans le cadre de potentiels incidents résultant de l’utilisation d’une IA.
Le contrôle des systèmes d’IA sera donc renforcé, la clarification du cadre juridique de l’IA étant une de ses priorités. Aussi, nous pouvons nous attendre à d’éventuels nouveaux textes nationaux, européens ou internationaux portant sur l’intelligence artificielle dans un futur proche, l’IA Act ne constituant que le début de ce travail de définition d’un vrai cadre légal.
Une trentaine de CNIL européennes (autorités de surveillance) ont mené des enquêtes coordonnées courant 2024 afin d’évaluer le respect, par les responsables de traitement, du droit d’accès à leurs données par les personnes concernées.
Ces actions ont pris diverses formes : exercices d’enquête, évaluations préliminaires pour identifier d’éventuelles infractions et, dans certains cas, ouverture d’enquêtes ou de contrôles formels.
Un questionnaire standardisé a été élaboré pour interroger un large éventail de responsables de traitement, qu’ils soient publics ou privés, soit 1 185 responsables de traitement y ont répondu, représentant des secteurs variés, allant des PME aux grandes entreprises.
Pour près des deux tiers des autorités de surveillance, l’analyse des réponses a ainsi révélé un niveau de conformité comme allant de « moyen » à « élevé ». Toutefois, un faible volume de demandes d’accès signalé par certains responsables de traitement suggère un manque de reconnaissance des requêtes d’accès, pouvant refléter des lacunes en matière de sensibilisation.
Une autre observation clé concerne le manque de connaissance des lignes directrices relatives à l’application de ce droit, adoptées par le CEPD le 28 mars 2023. Ce qui explique la mauvaise ou l’absence d’application de ce droit auprès des personnes concernées.
Malgré cela, des pratiques exemplaires ont été relevées, comme l’intégration de formulaires en ligne dits « conviviaux » permettant aux personnes concernées de réaliser facilement la demande auprès du responsable de traitement ou encore l’adoption de systèmes en libre-service pour télécharger ces données personnelles de manière autonome.
La CNIL a ouvert une consultation publique jusqu’au 28 février 2025 pour élaborer un référentiel de certification destiné aux sous-traitants traitant des données personnelles. Cette initiative vise à renforcer la conformité au RGPD de ces acteurs et à offrir aux responsables de traitement une garantie supplémentaire dans le choix de leurs partenaires.
Dans le cadre du RGPD, les sous-traitants ont en effet des obligations spécifiques lorsqu’ils traitent des données pour le compte d’un responsable de traitement. Ce cadre réglementaire s’applique à tous les sous-traitants, sans critère ou caractère critique des activités sous-traitées.
En revanche, la communication de la CNIL autour de ce référentiel s’adresse de manière plus directe et ferme aux prestataires informatiques, aux intégrateurs de logiciels, aux agences de marketing et aux entreprises de services numériques en les citant ouvertement. Un appel du pied remarqué de la part de l’Autorité auprès de ces entreprises qui s’exemptent peut-être trop rapidement de leurs obligations…
De leur côté, les responsables de traitement doivent s’assurer que leurs sous-traitants offrent des garanties suffisantes en matière de protection des données.
La future certification permettra donc aux sous-traitants d’attester de la conformité d’un produit, d’un service ou encore de l’éthique et de la politique générale de l’entreprise en matière de protection des données personnelles. Elle servira également d’outil de sélection pour les entreprises recherchant des prestataires fiables.
