À l’occasion de la Journée RGPD du 24 juin 2025, le thème de l’intelligence artificielle a été mis à l’honneur, notamment à travers la publication, le 19 juin 2025, de nouvelles recommandations CNIL. Ce sujet, central dans les débats de la journée, reflète les préoccupations croissantes autour du développement responsable de l’IA.

La CNIL, dans la continuité de son plan d’action lancé en 2023, précise les conditions d’utilisation de la base légale de l’intérêt légitime pour développer des systèmes d’IA. Elle répond ainsi aux attentes des acteurs économiques et institutionnels exprimées lors d’une large consultation publique.

Face à la difficulté d’évaluer la conformité des modèles d’intelligence artificielle (IA) aux exigences du RGPD, la CNIL lance le projet PANAME (pour « Privacy Auditing of AI Models »), en partenariat avec l’ANSSI, le PEReN (Pôle d’Expertise de la Régulation Numérique) et le projet IPoP (« Interdisciplinary Project on Privacy ») du PEPR (Programme et Équipements Prioritaires de Recherche) Cybersécurité.

Beaucoup d’acronymes et de sigles pour un objectif stratégique : développer une bibliothèque logicielle open source, facilitant la réalisation de tests de confidentialité sur les modèles d’IA, permettant de tester la robustesse des modèles face aux risques de réidentification et ainsi aider les acteurs à démontrer la conformité RGPD de leurs systèmes…

Cette capacité à tester la robustesse d’un modèle est essentielle pour qualifier les données comme anonymes, condition permettant de sortir du champ du RGPD.

Le projet répond à trois défis majeurs :

En février 2024, les deux opérateurs de tiers payant (OTP) VIAMEDIS et ALMERYS ont été victimes d’une cyberattaque importante entrainant la violation de données personnelles de plus de 33 millions de personnes concernées.

C’est dans ce contexte que le sénateur du Rhône, Monsieur Bernard FIALAIRE, avait notamment interrogé Mme la ministre de la santé à ce sujet, le 17 octobre 2024, dans une question au gouvernement, pour s’assurer justement des avancées gouvernementales sur les conséquences de cette violation de données à grande échelle.

Comme pour justifier sa question, une réflexion intéressante était d’ailleurs soulevée par le sénateur puisqu’il rappelait l’importance du principe de minimisation des données en demandant au ministère s’il était vraiment utile de transférer toutes les données de santé vers autant de tiers, mentionnant ainsi les OCAM.

Il proposait en outre la mise en place d’une blockchain pour sécuriser les échanges et éviter une multiplication des transferts, et donc une multiplication des risques.

Publié le 29 avril dernier, le rapport annuel 2024 de la CNIL dresse essentiellement les mêmes constats que le dispositif « Cybermalveillance.gouv », soit une augmentation grandissante des cyberattaques, dont les acteurs du domaine de l’assurance ne sont pas épargnés.

Il faut donc dire que la publication quelques jours auparavant de la version finale de sa recommandation relative à l’authentification multifacteur (dite MFA pour Multi-factor authentication) tombe à pic ; recommandation dont l’élaboration, pour mémoire, fait suite à une consultation publique où différents acteurs étaient invités à partager leurs questions, leurs suggestions et leurs pratiques internes au sein de leurs organismes.

La MFA est un procédé qui permet un niveau de sécurité élevé quant à l’accès aux données personnelles des personnes concernées. Elle propose de vérifier la preuve de l’identité de la personne souhaitant accéder à ses données personnelles.

Exemple : en cas de cyberattaque ou de fuite de données

La CNIL a publié fin janvier et début février deux bilans concomitants : l’un portant sur les violations de données personnelles, l’autre sur les sanctions et mesures correctrices appliquées au cours de l’année. Ces deux rapports offrent une vision complète des enjeux de protection des données en France et permettent d’en tirer des enseignements cruciaux pour vos organismes.

Le bilan des violations de données révèle une hausse de 20 % des incidents signalés, atteignant 5 629 cas en 2024. Parmi eux, les atteintes touchant plus d’un million de personnes ont doublé, impliquant des acteurs tels que les opérateurs de tiers payant, France Travail et Free. Cette augmentation met en évidence des failles systémiques et une exposition accrue aux cyberattaques.