À l’occasion de l’Université des DPO, le secrétaire général de la CNIL est revenu sur le bilan de l’action de la Commission, notamment à destination des délégués à la protection des données personnelles. Louis Dutheillet de Lamothe a aussi précisé le plan de la CNIL sur l’intelligence artificielle.
Le service des plaintes de la CNIL ne désengorge pas. Année après année, le nombre de dossiers traités par la Commission ne cesse de croître. C’est ce qu’a rappelé son secrétaire général, Louis Dutheillet de Lamothe, lors de l’Université des DPO organisée par l’AFCDP (l’association des délégués à la protection des données).
« Lorsqu’on a signé le RGPD en 2016, nous étions à 7 300 plaintes. L’année dernière, le total était de 17 000 », chiffre Louis Dutheillet de Lamothe. L’IA Act devrait avoir un effet similaire.
Coupe budgétaire à la CNIL
Après l’entrée en vigueur du règlement européen, la CNIL avait bénéficié de moyens supplémentaires. Ce ne sera pas le cas en 2025 en raison « de turbulences budgétaires ». Dans ce contexte, la Commission a même appris la réduction de son budget de fonctionnement de 400 000 euros, soit une baisse de 10 % de sa dotation.
La CNIL a même appris la réduction de son budget de fonctionnement de 400 000 euros, soit une baisse de 10 % de sa dotation.
« Ce n’est pas négligeable », commente sobrement le haut fonctionnaire. Les missions de la CNIL demeurent pourtant inchangées. Au contraire, elles s’élargissent avec le développement de l’IA et son nécessaire encadrement.
Certes, la Commission n’a pas infligé en 2024 de lourdes amendes comme durant les premières années d’application du RGPD. Mais ces décisions visaient d’abord à agir sur les pratiques « des plus grosses et plus puissantes sociétés », justifie Louis Dutheillet de Lamothe.
En 2024, 87 amendes ont tout de même été prononcées, dont 18 dans le cadre de la procédure ordinaire. Le chiffre est stable. En revanche, la procédure de sanction simplifiée « a vraiment décollé ». Ce dispositif est plus adapté aux manquements constatés et à la taille des organisations condamnées.
Louis Dutheillet de Lamothe souligne par ailleurs que la CNIL dispose d’autres modes d’action, dont les mesures correctrices, les mises en demeure et les rappels à la loi. « Sur la masse des 17 000 plaintes, la partie répressive reste une goutte d’eau », mais une goutte d’eau importante, juge-t-il.
Cyber et applis mobiles dans le viseur en 2025
En 2025, de nouvelles sanctions sont plus que probables. Deux domaines seront particulièrement scrutés par les agents de la CNIL : les applications mobiles (à la suite « d’un gros travail de doctrine ») et la cyber.
« L’année 2024 a été une année de déferlement d’attaques informatiques et de violations de données. Nous avons franchi un cap », considère le cadre de la CNIL en prenant à témoin l’Anssi et la plateforme Cybermalveillance.
Les Jeux olympiques étaient attendus comme la cible prioritaire des attaques. D’autres organisations ont pourtant aussi été prises pour cibles. « Nous avons vu d’énormes bases de données se faire attaquer tous les mois, dans tous les domaines. »
Ces incidents ont permis à la CNIL et à ses partenaires institutionnels de constater que « trop souvent » des mesures qui figurent depuis des années dans les guides de sécurité étaient négligées. « Cela impliquera des réactions pour tirer les conséquences de ces trop grandes vulnérabilités », annonce Louis Dutheillet de Lamothe.
Un kit pour les nouveaux DPO
Mais l’action de la CNIL, c’est aussi d’accompagner. Son secrétaire général a tenu à le rappeler, en citant par exemple le début des interventions en région, la publication de guides et de recommandations – à destination en 2025 de la « silver economy » notamment.
La Commission entend également accompagner plus encore les DPO. D’après une étude menée par l’AFCDP, les délégués à la protection des données personnelles expriment de forts besoins en matière de formation et d’information.
En réponse, la CNIL prévoit de fournir aux nouveaux DPO un kit d’embarquement qui leur apporte les informations essentielles, et cela afin de faciliter leur prise de fonction. Les Tables de l’agence, un outil à destination cette fois des spécialistes du droit, vont également bénéficier d’une attention particulière.
Le document – qui intègre la doctrine, la jurisprudence et les décisions de la CNIL – ne répond pas toujours aux interrogations des DPO et des juristes, reconnaît son représentant. Les Tables seront dorénavant actualisées tous les 2 mois, contre une fois par an jusqu’à présent, soit « au même rythme qu’est modifié le document sur notre intranet. »
2025, année de l’IA…
L’année 2025, enfin, sera pour la CNIL une année consacrée en grande partie à l’intelligence artificielle sous toutes ses formes. Son action dans ce secteur a été initiée il y a 18 mois. Mais « ce plan est d’abord tourné vers les concepteurs de modèles d’IA, plus que vers ceux qui les déploient », concède Louis Dutheillet de Lamothe.
« Il y avait urgence à sécuriser les entreprises dans ce domaine [des concepteurs de modèles d’IA]. »
Louis Dutheillet de LamotheSecrétaire général de l’AFCDP
« Nous avons bien conscience que l’énorme travail réalisé est en décalage par rapport aux questions que vous vous posez, au jour le jour, sur les conditions d’utilisation des modèles d’IA », poursuit-il à l’adresse des DPO présents – et dont « 99 % » exercent parmi les acteurs qui déploient et non chez les concepteurs.
Pourquoi cette priorité à la conception ? « Il y avait urgence à sécuriser les entreprises dans ce domaine », justifie le membre de la CNIL. Ce travail se poursuit. En amont du Sommet pour l’action sur l’IA, deux nouvelles recommandations ont d’ailleurs été publiées. Elles portent sur l’information des utilisateurs des modèles, et sur le droit des individus sur les bases d’entraînement.
« La CNIL construit progressivement sa doctrine » en matière d’IA, quitte « à prendre un peu des risques » – c’est-à-dire en s’exposant à des modifications des décisions prises dans les années à venir (et à des reproches ?)
Après les concepteurs, la CNIL prévoit « de construire des outils pour aider les DPO » dans le déploiement de l’IA au sein de leurs organisations. « Nous sommes au début du chemin. Le collège de la CNIL a vraiment mis l’IA au cœur de sa stratégie pour que, demain, la protection des données personnelles soit bien assurée », déclare Louis Dutheillet de Lamothe.
… et de l’application de l’IA Act
L’AI Act et son application en France préserveront-ils le rôle de la CNIL ? « Il n’y a pas encore eu d’arbitrage gouvernemental », répond le secrétaire général à une question d’un DPO. « J’espère qu’il arrivera en mars » via une proposition de loi de transposition du RIA.
La Commission a cependant déjà un avis sur le sujet. « La vision de la CNIL est qu’elle doit être dans ce texte. La CNIL a voulu être associée, d’une manière ou d’une autre, à tous les textes sur le numérique, parfois pour avoir un tout petit rôle comme sur le Digital Service Act. »
Et même si la CNIL peut se voir allouer un simple « strapontin », ce siège est jugé indispensable pour lui permettre de « bien faire » son travail d’application du RGPD. « J’espère, au moins sur les sujets les plus régaliens, comme la biométrie, l’usage de l’IA par la police […] que la CNIL se verra attribuer un rôle », plaide Louis Dutheillet de Lamothe.
Pour approfondir sur Réglementations et Souveraineté
