En 2025, la CNIL mettra l’accent sur trois secteurs sensibles :
🔹 les applications mobiles,
🔹 la cybersécurité des collectivités territoriales,
🔹 et les traitements de données par l’administration pénitentiaire.
📱 Données collectées via les applications mobiles
Téléchargées massivement, les applications mobiles sont désormais un point d’entrée majeur pour la collecte de données personnelles : géolocalisation, données bancaires, comportementales, etc.
Dans la continuité de sa recommandation publiée en octobre 2024, la CNIL prévoit une série de contrôles sur :
le paramétrage des SDK (kits de développement logiciel),
la gestion des permissions d’accès aux fonctionnalités du téléphone,
les pratiques des éditeurs d'applications, mais aussi des fournisseurs de SDK.
Les applications mobiles développées par des acteurs publics ne seront pas épargnées, notamment dans le contexte de la numérisation croissante des services administratifs.
🛡️ Cybersécurité des collectivités territoriales
Avec une augmentation de 20 % des notifications de violation en 2024 (5 629 incidents recensés), la CNIL inscrit la cybersécurité au cœur de son plan stratégique 2025-2028.
Les collectivités territoriales, souvent ciblées et vulnérables, manipulent des données particulièrement sensibles : état civil, prestations sociales, données financières, etc.
Les contrôles porteront sur :
les mesures de sécurité en place pour protéger les données des usagers,
la préparation à la transposition de la directive NIS2, qui impose de nouvelles obligations en matière de sécurité des systèmes d'information.
Au-delà des contrôles, la CNIL renforcera ses actions d’accompagnement et de sensibilisation.
Besoin d'anticiper un contrôle de la CNIL ? Visionnez notre webinaire en replay sur les 5 documents essentiels à fournir en cas de contrôle.
🔒 Traitements de données dans l’administration pénitentiaire
Le traitement GENESIS, utilisé pour le suivi des personnes incarcérées, regroupe des données sensibles liées à la détention et à la réinsertion.
Les établissements pénitentiaires devront démontrer :
la conformité des traitements mis en œuvre,
la sécurisation de leurs infrastructures informatiques et de communication,
le respect des droits des personnes détenues, dans un contexte où la confidentialité et la sécurité sont essentielles.
🧽 Focus européen : le droit à l’effacement
Enfin, la CNIL participera à une action coordonnée au niveau européen dans le cadre du Coordinated Enforcement Framework (CEF). Cette année, les autorités de contrôle de l’UE examineront collectivement la mise en œuvre du droit à l’effacement. L’objectif : harmoniser l’interprétation et les pratiques du RGPD à travers l’Europe.
🎯 Ce qu’il faut retenir pour les organisations :
Les éditeurs d’applications mobiles doivent vérifier leurs SDK, les permissions demandées, et documenter les traitements.
Les collectivités doivent renforcer leur cybersécurité et se préparer à NIS2.
Les organismes publics (dont pénitentiaires) doivent s’assurer de la conformité des traitements sensibles.
Toutes les organisations doivent pouvoir démontrer la bonne gestion des demandes d’effacement de données.
👉 Vous êtes concerné par l’un de ces secteurs ?
Découvrez comment Dastra vous permet de documenter vos traitements, maîtriser vos risques, et vous préparer à un éventuel contrôle de la CNIL.