Accompagnement des professionnels : le programme de travail de la CNIL pour 2025

L’accompagnement de la CNIL : de nouveaux outils pour de nombreux secteurs d’activité

La CNIL dialogue depuis de nombreuses années avec les professionnels ou leurs représentants. Elle répond à des demandes de conseil, développe des outils d’accompagnement innovant, et organise des moments d’échanges libres avec certains secteurs sur certaines problématiques spécifiques (« club conformité »).

Le principal outil d'accompagnement des professionnels prend la forme de documents dits « de droit souple » (référentiels, recommandations, lignes directrices, guides pratiques, etc.) qui ont pour objectifs d’expliciter le droit applicable et de proposer des bonnes pratiques. Pour les produire, la CNIL s’appuie notamment sur des « têtes de réseau », comme les fédérations professionnelles ou les groupes d’intérêt qui constituent des partenaires privilégiés avec lesquels elle échange régulièrement. Ces documents de « droit souple » ne sont pas prescriptifs.

Cette année, dans une démarche de transparence et pour que les professionnels concernés puissent se préparer aux concertations ou aux consultations à venir, la CNIL présente les principaux projets de « droit souple » qu’elle souhaite adopter en 2025.

De nouvelles fiches pratiques relatives à l’intelligence artificielle

En 2025, la CNIL poursuivra ses travaux de clarification afin d’aider les professionnels à concilier innovation et respect des droits des personnes pour un développement innovant et responsable de leurs systèmes d’IA. Les nouvelles fiches porteront sur la mobilisation de l’intérêt légitime, l’application du RGPD aux modèles d’IA, la sécurité et l’annotation. Elles s’inscrivent dans le prolongement de ses premières recommandations, notamment sur l’information et les droits des personnes.

La CNIL publiera également des fiches concernant les conditions de déploiement des systèmes d’IA, notamment dans le secteur de l’éducation, du travail ou encore des collectivités locales.

Les projets de référentiel

Un référentiel d’évaluation des sous-traitants

Afin de faciliter la démonstration de la conformité au RGPD dans un contexte de sous-traitance, la certification permettra d’orienter les responsables de traitement dans le choix de leurs sous-traitants : elle assure que les traitements réalisés par le sous-traitant ont été évalués comme étant conformes aux critères d’un référentiel reconnu par la CNIL.

• Après une consultation publique qui s'est achevée en février 2025, la CNIL construit désormais la version définitive de ce référentiel en concertation avec ses homologues européens. 

Concertation sur les référentiels « santé »

Au-delà des nouveaux instruments, la CNIL souhaite actualiser les référentiels permettant de mettre en œuvre des traitements de données de santé sur la base d’une déclaration de conformité, sans avoir à demander une autorisation préalable. Elle souhaite ainsi proposer des outils de simplification adaptés aux besoins des acteurs et aux pratiques professionnelles dans le secteur de la recherche en santé.

• Ce travail de refonte fait suite à une consultation publique menée en 2024.

Un référentiel à destination des banques sur l’octroi de crédit

La CNIL publiera un projet de référentiel sur l’octroi de crédit afin de moderniser ses cadres de référence existants. Dans un contexte où les algorithmes jouent un rôle croissant dans les décisions prises par les établissements financiers, ces travaux visent notamment à renforcer la transparence et la responsabilité des acteurs. Le futur référentiel permettra de fournir un cadre clair pour accompagner les acteurs dans leur conformité aux exigences réglementaires.

• La CNIL proposera prochainement une consultation publique sur ce projet.

Deux référentiels « durées de conservation » concernant les activités commerciales/marketing et les ressources humaines 

Ces référentiels recenseront les durées de conservation des traitements de données les plus fréquents dans ces deux domaines d’activités. Ils sont un outil d’aide à la prise de décision qui oriente l’organisme vers les durées recommandées par la CNIL ou les durées obligatoires en raison d’un texte.

• Après une phase de concertation, la CNIL construit actuellement les versions définitives de ses référentiels.

Trois projets de recommandation

Consentement multi terminaux

Les utilisateurs interagissent désormais avec des sites web ou applications mobiles via une multitude d’équipements (ordinateur, smartphone, télévision connectée, tablette, etc.), parfois en étant connectés à un compte utilisateur. La CNIL viendra clarifier les conditions dans lesquels les acteurs peuvent recueillir un consentement multi terminaux dans un univers authentifié en assurant la transparence et le contrôle par les internautes.

Pixels dans les courriels

Dans le prolongement de ses actions sur les cookies et autres traceurs, la CNIL publiera un projet de recommandation sur l’utilisation des pixels dans les courriels, dont l’usage est en forte croissance. L’objectif est de préciser les cas dans lesquels le consentement est nécessaire et guider les acteurs sur les modalités de son recueil.

Économie des séniors (silver économie)

Dans le cadre de son plan d’action, la CNIL envisage de publier une recommandation destinée aux professionnels de la filière qui recouvre de nombreux champs d’actions, tels que la santé et la nutrition, la sécurité et l'autonomie ou encore l'habitat. La nature des données traitées et le ciblage en fonction de l’âge, notamment, soulèvent d’importants enjeux en matière de protection des données.

Les travaux sur les dashcams et la prospection politique

Le recours aux caméras embarquées au sein des véhicules (dites « dashcams ») s’est accru ces dernières années pour répondre à des objectifs très variés (constituer des preuves en cas d’accident, lutter contre le vol ou la dégradation du véhicule, réutiliser les images à des fins de formation à la conduite, etc.). Le « club conformité » dédié aux acteurs du véhicule connecté et de la mobilité consacrera ses nouveaux travaux à l’élaboration de recommandations sur l’utilisation de ces dispositifs.

Enfin, la CNIL a mis en place un plan d’action afin de clarifier les règles applicables aux partis politiques, candidats et sous-traitants afin d’accompagner leur mise en conformité au nouveau règlement européen sur le ciblage politique. Il conduira notamment, après consultation des parties prenantes (partis politiques, prestataires), à la mise à jour des différents contenus déjà en ligne.