Contrôles de la Cnil : quelles priorités pour 2025 ?

La Commission nationale de l’informatique et des libertés (Cnil) a dévoilé ses priorités de contrôle pour 2025. Ces orientations traduisent une volonté de renforcer la protection des données personnelles face à des usages numériques toujours plus variés. La Cnil entend également proposer de nouveaux outils d’accompagnement sous forme de droit souple afin d’aider les professionnels à se conformer aux exigences du RGPD.

Applications mobiles : un champ d'investigation renforcé

En 2025, la Cnil ciblera la collecte de données via les applications mobiles. Elle justifie cette priorité par le fait que les utilisateurs français téléchargent en moyenne une trentaine d'applications par an. Ces outils sont souvent conçus à partir de kits de développement logiciel (SDK) qui accèdent aux données sensibles des terminaux mobiles.

Les vérifications porteront aussi bien sur les éditeurs d'applications que sur les fournisseurs de ces SDK. La Cnil s’intéressera particulièrement à leur paramétrage et à la gestion des permissions, c’est-à-dire aux conditions d’accès aux données personnelles du téléphone. À ce titre, une recommandation a été publiée en septembre 2024, afin d’accompagner les professionnels dans le développement d’applications respectueuses de la vie privée.

Le droit à l’effacement : une priorité européenne

Le droit à l’effacement, prévu à l’article 17 du RGPD, figure également parmi les priorités de contrôle. Ce droit permet à toute personne de demander la suppression de ses données personnelles dans certaines conditions.

Selon la Cnil, une proportion significative des plaintes reçues concerne la mauvaise prise en compte de ce droit. En 2025, ses agents s’attacheront à vérifier les modalités de traitement de ces demandes, ainsi que le respect des conditions et exceptions prévues par le règlement. Ce thème fait par ailleurs l’objet d’une action coordonnée au niveau européen, pilotée par le Comité européen de la protection des données (CEPD). Plus d'informations : voir le communiqué du CEPD.

Cybersécurité et administration pénitentiaire : sous surveillance

La Cnil intensifiera aussi ses contrôles dans deux secteurs jugés sensibles : la cybersécurité des collectivités territoriales et les traitements de données opérés par l’administration pénitentiaire. Ces domaines impliquent des traitements à forts enjeux pour les droits et libertés des personnes concernées.

Rappelons qu’environ un quart des contrôles annuels de la Cnil sont guidés par ces priorités définies en amont.

Un programme ambitieux en matière de droit souple

Au-delà des contrôles, la Cnil prévoit de publier plusieurs outils juridiques à visée pédagogique. Parmi les projets annoncés figurent :

• Des fiches thématiques portant sur l’utilisation de l’intérêt légitime dans les traitements liés à l’intelligence artificielle, la sécurité ou encore l’annotation des données ;
• Un référentiel pour l’évaluation des sous-traitants, à la suite d’une consultation publique close en février 2025 ;
• Un référentiel à destination des banques sur l’octroi du crédit, avec une attention particulière portée sur l’usage croissant des algorithmes dans les décisions financières ;
• Deux référentiels sur les durées de conservation des données dans les domaines des ressources humaines et du marketing.

D’autres recommandations sont en cours de rédaction, notamment sur le consentement multiterminaux, les pixels invisibles dans les courriels, l’économie des séniors, les dashcams embarquées dans les véhicules et la prospection politique.

La Cnil confirme ainsi son rôle de régulateur actif et anticipateur, combinant contrôle, conseil et accompagnement des professionnels pour une meilleure gouvernance des données personnelles.