Les priorités du programme de contrôles 2025 de la Cnil ont été dévoilées. Quatre thématiques prioritaires ont été identifiées : la collecte de données par le biais des applications mobiles ; les données traitées par l’administration pénitentiaire ; le droit à l’effacement et enfin la cybersécurité des collectivités territoriales. 

Il faut rappeler que la cybersécurité fait partie des axes majeurs du plan stratégique 2025-2028 de la Cnil présenté en janvier dernier. Ce plan doit « permettre de protéger les données de chacun et ainsi de sécuriser l’avenir numérique de tous ».

Le contexte justifie aussi cette nécessité de davantage protéger les données des citoyens. Ces dernières années, les cyberattaques ont été chaque année plus fréquentes et nombreuses, et la menace cyber n’a cessé de croître depuis le début de la guerre en Ukraine. Les collectivités sont loin d’être épargnées par ces attaques. 

La Cnil a ainsi reçu 5 629 notifications de violation en 2024, soit 20 % de plus qu’en 2023. Plus largement, le nombre de notifications reçues par la Commission nationale de l'informatique et des libertés (Cnil) est en augmentation depuis 6 ans (lire Maire info du 24 avril 2024). 

« Les collectivités territoriales sont particulièrement vulnérables », c’est pourquoi cette année, la Cnil va procéder à plusieurs contrôles auprès des collectivités territoriales qui « traitent un grand nombre de données, pour certaines sensibles (gestion de l’état civil des usagers, versement de prestations sociales, données financières, ou encore services en ligne de paiement de contravention) ». 

À titre indicatif, l’année dernière, la Cnil a conduit 321 contrôles au total.

Préparer l’entrée en application de NIS 2 

« La Cnil a donc décidé de contrôler les mesures mises en œuvre par les collectivités territoriales afin de protéger les données des usagers », peut-on lire sur le site de l’autorité. En parallèle de ces contrôles, la Cnil va continuer à renforcer son action « en vue de sensibiliser et d’accompagner les collectivités territoriales en matière de cybersécurité ».

Pour information, les contrôles de la Cnil peuvent prendre 4 formes différentes : le contrôle sur place ; l’audition sur convocation ; le contrôle en ligne ou encore le contrôle sur pièces. La Cnil précise que « l’objet d’un contrôle est de vérifier que les traitements mis en œuvre par l’organisme sont conformes aux dispositions de la loi Informatique et Libertés modifiée et du RGPD ».

La Cnil précise que ces contrôles visent aussi à « préparer l’entrée en application de la directive NIS2, en cours de transposition, qui prévoit une montée en compétences et des exigences nouvelles pour les collectivités territoriales en matière de sécurité informatique ». Pour rappel, cette directive vise à collectivement atteindre une immunité cybernationale et distingue deux types d’acteurs qui vont être soumis à des obligations différentes : les entités essentielles et celles dites importantes (les essentielles auront davantage d’objectif à remplir). Le projet de loi visant à transposer cette directive a été adopté par le Sénat le 12 mars dernier puis transmis à l’Assemblée nationale (lire Maire info du 13 mars).

Suivez Maire info sur Twitter : @Maireinfo2