Violation de données, surveillance... La CNIL a reçu un nombre record de plaintes en 2023

La Commission nationale informatique et libertés (Cnil), gendarme de la vie privée des Français, a enregistré un nombre record de plaintes en 2023 et s'attend à une autre année dense en 2024, marquée notamment par les Jeux olympiques de Paris.

L'autorité a ainsi reçu 16.433 plaintes l'an passé (+35% par rapport à 2022) et quelque 4.600 violations de données lui ont été signalées (+14%), dont plus de la moitié concernait des actes de piratages via rançongiciel ou hameçonnage, selon son bilan annuel rendu public mardi.

"Même si les entreprises, administrations, collectivités et autres organismes sont de plus en plus sensibilisés et (...) protégés, les attaques informatiques demeurent nombreuses", souligne l'autorité.

Cyberattaque de France Travail

Le début de 2024 a ainsi été marqué par les cyberattaques ayant visé France Travail (ex-Pôle Emploi) et deux opérateurs de tiers payant, Viamedis et Almerys.

"En l'espace de deux mois, un Français sur 2 a vu ses données personnelles compromises" explique à l'AFP la présidente de la Cnil, Marie-Laure Denis, reconduite fin janvier pour un deuxième mandat de cinq ans.

Cet été, son institution sera particulièrement attentive aux Jeux olympiques et paralympiques organisés à Paris. "Toutes les garanties ont été prises pour qu'il y ait un bon équilibre entre la meilleure protection possible des Français, des athlètes et de toutes les personnes qui seront présentes en France à l'occasion de cet événement, et en même temps le respect des libertés publiques", assure-t-elle.

Selon Mme Denis, les individus sont en effet "de plus en plus sensibles aux enjeux de protection des données en matière de vie privée", comme en témoigne la hausse des plaintes déposées en 2023.

Plus de sanctions

Parmi les saisines, qui peuvent remonter aux années précédentes, 16.551 ont été traitées et plus de 4.400 ont été jugées non recevables.

Côté répressif, la Cnil avait annoncé en février avoir procédé à 340 contrôles, envoyé 168 mises en demeures et prononcé 42 sanctions, pour un montant d'amendes cumulé de plus de 89 millions d'euros, contre un peu plus de 100 millions d'euros en 2022.

Parmi les entreprises concernées, le géant français de la publicité Criteo a écopé d'une amende de 40 millions d'euros en juin 2023 en raison de manquements au règlement européen sur les données personnelles.

Fin décembre, c'est Amazon France Logistique qui s'est vu infliger 32 millions d'euros d'amende pour un système de surveillance des salariés jugé "excessivement intrusif" - sanction dont l'entreprise a fait appel.

La Cnil, qui met en avant une augmentation du nombre de sanctions, l'attribue notamment à la mise en œuvre de la procédure dite de +sanctions simplifiées+.

Applications mobiles

Inaugurée en 2022, cette dernière, qui concerne les dossiers "ne présentant pas de difficulté particulière" selon l'institution et pour lesquels une amende de 20.000 euros maximum peut-être prononcée, a mené à 24 sanctions en 2023, pour un montant de 229.450 euros.

"Nous sommes très satisfaits de son fonctionnement", se félicite Mme Denis, qui vise à terme "entre 80 et 100 sanctions par an" dans le cadre de cette procédure.

Parmi les prochains chantiers, la Cnil veut s'intéresser aux applications mobiles, "vraie priorité" selon sa présidente.

"Vous avez toute votre vie privée sur votre téléphone portable et des données très sensibles comme vos contacts, des vidéos, votre géolocalisation", déroule-t-elle.

À l'image de ce qui a été fait avec le consentement des cookies, où les internautes européens doivent en permanence "Accepter" ou "Refuser" l'utilisation de leurs données personnelles et le dépôt de traceurs, la Cnil souhaite appliquer la même méthode "pour donner la possibilité de contrôler l'usage qui est fait de ces données."

Elle affirme avoir ainsi mené des contrôles sur une vingtaine d'applications, notamment de suivi de grossesse, et constaté que "ces données étaient exploitées très largement sans le consentement des personnes."