Protection des données personnelles des consommateurs
Question de :
Mme Constance de Pélichy
Loiret (3e circonscription) - Libertés, Indépendants, Outre-mer et Territoires
Mme Constance de Pélichy rappelle à M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique que la protection des données personnelles des consommateurs est un enjeu majeur à l'heure du numérique. Or de nombreuses grandes entreprises, notamment dans les secteurs du commerce, des services et des télécommunications, sont régulièrement confrontées à des failles de sécurité entraînant des fuites massives d'informations sensibles appartenant à leurs clients. Ces incidents exposent ces derniers à des risques de fraude, d'usurpation d'identité et d'autres cyberattaques. Le Règlement général sur la protection des données (RGPD) impose pourtant des obligations strictes aux entreprises en matière de collecte, de stockage et de sécurisation des données personnelles. Il apparaît que ces obligations ne sont pas toujours respectées, soit en raison d'un manque de vigilance, soit en raison de sanctions insuffisamment dissuasives. En France, plusieurs cas récents illustrent cette problématique. En 2023, une fuite massive de données a touché Pôle emploi, compromettant les informations personnelles de 10 millions de demandeurs d'emploi et plus récemment, en 2024, l'entreprise d'assurance Verspieren a été victime d'une violation de sécurité, entraînant la diffusion de documents sensibles et d'informations clients sur le dark web. Ces incidents montrent à quel point les failles de sécurité peuvent avoir des conséquences graves pour les citoyens. Face à la multiplication des violations de données, il est légitime de s'interroger sur l'efficacité des mesures actuellement en place pour contraindre les grandes entreprises à une véritable mise en conformité avec les règles en vigueur. Aussi, je souhaiterais savoir quelles actions le Gouvernement envisage afin de renforcer le contrôle et l'application des obligations en matière de protection des données personnelles. Une augmentation des sanctions ou un renforcement des mécanismes de surveillance et d'alerte est-il prévu afin de mieux protéger les consommateurs ? Elle lui demande quelle coordination à l'échelle européenne est envisagée.
Réponse publiée le 19 août 2025
Le Règlement Général sur la Protection des Données (RGPD) impose que soient mises en œuvre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté » au niveau de risque identifié (article 32). Si ce risque pèse sur les droits et libertés des personnes concernées, alors le RGPD impose au responsable de traitement de notifier la violation à la CNIL en France (article 33). La CNIL accompagne les organismes de manière renforcée, à la fois lorsqu'elles sont victimes de violations et pour la mise en place de mesures de sécurité adaptées en amont. La CNIL a d'ailleurs consacré la cybersécurité comme l'un des quatre axes de son plan stratégique 2025-2028. Elle a produit des recommandations portant sur la protection des données personnelles au regard de l'évolution de la menace et de l'état de l'art et publié plusieurs fiches d'accompagnement afin de garantir aux organisations une sécurité continue des données personnelles. Elle a aussi publié des guides sur la méthode et les modèles à suivre dans l'analyse d'impact relative à la protection des données, afin d'identifier les risques auxquels sont exposés les traitements de données que les opérateurs envisagent de mettre en œuvre. Pour accompagner les organismes à implanter des dispositifs pouvant détecter et stopper les accès potentiellement suspects, la CNIL a aussi présenté une analyse des différentes phases d'une attaque révélant la succession de défauts de sécurité et les exemples de mesures pouvant prévenir ces risques. En complément, la plateforme cybermalveillance.gouv.fr a mis à disposition une fiche pour les victimes de ces violations de données, afin d'adopter les bonnes pratiques en matière de sécurisation du numérique. Enfin, la CNIL procède également à des contrôles sur la mise en œuvre des mesures de sécurité par les organismes. En 2024, elle a ainsi sanctionné 11 organismes pour des manquements relatifs à la sécurité des données personnelles, dans le cadre de la procédure de sanction simplifiée. C'est donc un aspect auquel elle accorde une importance particulière lors des procédures qu'elle engage. A l'échelle nationale, les enjeux de cybersécurité font également l'objet de discussions et d'avancées législatives, afin de renforcer le contrôle et de mieux informer les utilisateurs. La loi n° 2024-449 visant à sécuriser et réguler l'espace numérique (SREN), promulguée le 21 mai 2024, prévoit notamment en son article 24, un filtre de cybersécurité « anti-arnaque » pour les sites qui sont manifestement conçus pour obtenir frauduleusement les données d'une personne ou pour soutirer de l'argent. Ces pages et sites pourront faire l'objet d'un avertissement du public sur leur caractère malveillant, mais aussi être déréférencés ou voir leur accès être empêché. Par ailleurs, un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, adopté en première lecture par le Sénat le 12 mars dernier. Il transpose la directive dite « NIS 2 » du 14 décembre 2022 relative aux mesures destinées à assurer un niveau commun élevé de cybersécurité dans l'ensemble de l'Union afin de lutter plus efficacement contre les cyberattaques.
Auteur : Mme Constance de Pélichy
Type de question : Question écrite
Rubrique : Nouvelles technologies
Ministère interrogé : Économie, finances, souveraineté industrielle et numérique
Ministère répondant : Justice
Dates :
Question publiée le 25 mars 2025
Réponse publiée le 19 août 2025