L’année 2024 a été particulièrement dense pour la Commission nationale de l’informatique et des libertés. L’autorité de protection des données personnelles a reçu 17.772 plaintes, un chiffre jamais atteint depuis la création de l’organisme. Fait remarquable : elle a instruit plus de cas qu’elle n’en a reçus (15.639 traités pour 15.350 reçus, hors vague tardive de 2.423 plaintes). Un nombre record de plaintes et de sanctions En parallèle, 5.629 violations de données personnelles ont été notifiées à la CNIL, soit 20 % de plus qu’en 2023. Et le plus préoccupant, selon l’autorité, c’est la hausse des incidents de grande ampleur. En un an, le nombre d’attaques touchant plus d’un million de personnes a doublé, passant d’une vingtaine à une quarantaine. Ces attaques ont concerné aussi bien le secteur privé (Free, Auchan, Boulanger…) que public (France Travail). En réponse, la CNIL a prononcé 87 sanctions, pour un montant total de plus de 55 millions d’euros d’amendes. La procédure simplifiée, utilisée pour les cas les plus clairs, s’est imposée comme un outil efficace : 69 décisions ont été rendues par ce biais, soit trois fois plus qu’en 2023. Les violations proviennent en majorité d’attaques informatiques : rançongiciels, hameçonnage et autres compromissions de comptes. Mais 20 % des incidents restent dus à des erreurs humaines internes. Parmi les failles les plus fréquentes, la CNIL note que les identifiants étaient déjà compromis, que les intrusions n’étaient pas détectées à temps, et qu’un sous-traitant était impliqué dans une part importante des cas. Face à ces constats, la CNIL annonce qu’elle imposera la double authentification à partir de 2026 pour tous les accès à distance aux bases contenant plusieurs millions de données personnelles, comme l’indique Franceinfo. Cela concernera aussi bien les employés que les partenaires et les sous-traitants. Selon l’organisme, combinée à d’autres mesures (surveillance des extractions, traçabilité des accès, sensibilisation…), cette exigence aurait permis d’éviter 8 violations massives sur 10. La CNIL en profite pour rappeler les bonnes pratiques de base en cybersécurité : mises à jour régulières, mots de passe robustes, sauvegardes fréquentes, protection des messageries, et formation continue des utilisateurs. Ces recommandations s’inscrivent dans son plan stratégique 2025–2028, centré sur l’anticipation et la résilience face aux risques numériques croissants. L’autorité a intensifié ses actions de sensibilisation, en organisant 173 actions de terrain qui ont touché les familles, les seniors, les personnes handicapées ou éloignées du numérique. La CNIL a aussi cherché à mieux informer et sensibiliser les mineurs, avec des initiatives sur des enjeux brûlants comme l’accès des jeunes aux contenus pornographiques, le cyberharcèlement, ou encore le rôle des parents dans le contrôle des usages numériques.