Nos confrères de Ouest France se sont entretenus avec Mathias Moulin, secrétaire général adjoint de la CNIL. Il commence par revenir sur la volumétrie des signalements : « Depuis janvier, nous avons enregistré 5 100 notifications au 26 septembre », contre 4 668 sur l’ensemble de l’année 2023.
Le secrétaire général parle d’un « mécanisme de sous-notification en France. Par exemple aux Pays-Bas, ils ont reçu plus de 25 000 signalements de violation de données en 2023 ». Il n’explique pas plus en détail ce phénomène.
Nos confrères posent la question des moyens : « On fait le maximum en fonction des moyens dont on dispose. Nous agissons aussi avec l’ANSSI, Cybermalveillance. gouv… Dans notre champ direct qui concerne la protection des données à caractère personnel, on est l’autorité référente. Systématiquement, on contrôle les aspects sécurité. Ainsi, l’an dernier, nous avons adopté 14 sanctions pour manquement à la sécurité. Nous avons aussi adressé 168 mises en demeure. En 2024, nous serons probablement sur une proportion de manquement équivalente ».
Concernant les fuites les plus importantes telles que celles de Viamedis, Almerys, Free et France Travail, des contrôles sont « en cours sur ces organismes ». Le temps de mener une enquête et d’établir un rapport, il faut compter entre 8 et 10 mois.
Concernant les sanctions, jugées trop faibles pour certains, la CNIL se défend : « Entre 2018 et 2024, nous avons changé de braquet. Nous n’avons pas une logique punitive, mais plutôt de mise en conformité des acteurs. […] On a vraiment une volonté d’augmenter le nombre de sanctions. Mais pas punir pour punir. On prône la mise en conformité avant tout ».
Et sur les plaintes justement, la CNIL revendique en moyenne plus de 16 000 par an, « c’est beaucoup et c’est compliqué d’instruire de tels volumes dans des délais réduits ». Et Free est en train de battre des records : « plus de 2 000 à ce stade. C’est le record s’agissant d’une série de plaintes ». La CNIL a déjà ouverte une enquête. Pour rappel, des IBAN sont dans la liste des données dérobées par les pirates.