La CNIL vient d'indiquer ses priorités de contrôle pour 2026. L'autoriser focalise toute son attention sur le recrutement, le répertoire électoral unique et les fédérations sportives, nombreuses à être touchées par les fuites de données.
Garante du respect de nos données personnelles, la Commission nationale de l'informatique et des libertés, la CNIL, a officialisé vendredi la liste de ses missions symboliques de l'année. En 2026, le gendarme français de la vie privée a décidé de cibler les pratiques de recrutement des grandes entreprises, la gestion du répertoire électoral unique et les fédérations sportives, gonflées à bloc depuis les JO de Paris mais surtout victimes de cyberattaques à la chaîne. Entre les algorithmes trieurs de CV, les données d'électeurs et les informations sensibles sur des mineurs, la commission ne manque pas de travail, et les contrôles vont s'enchaîner.
La CNIL vérifie que les recruteurs n'abusent pas des algorithmes pour trier les CV
En janvier 2023, la CNIL avait publié un guide pratique pour aider les recruteurs à bien gérer les données personnelles des candidats, comme les informations des postulants, les durées de conservation, l'usage des outils numériques. Trois ans plus tard, la pédagogie laisse place aux contrôles. Et ce sont les grandes entreprises et les cabinets de recrutement qui seront examinés en priorité tout au long de l'année, car ce sont eux qui traitent le plus grand volume de candidatures, et donc de données personnelles.
Les agents de la CNIL vérifient trois choses. Ils regardent si un algorithme a été utilisé pour trier ou sélectionner des CV et candidats, si ces derniers en ont été clairement informés, et combien de temps leurs données ont été conservées après le recrutement. Ce chantier annonce le futur rôle de la CNIL comme autorité chargée de surveiller l'usage de l'intelligence artificielle dans le monde du travail, tel que le prévoit le règlement européen sur l'IA.
Autre dossier sensible, celui du répertoire électoral unique, qui est en quelque sorte la base de données mère de la démocratie française. Ce fichier, géré par l'INSEE, recense tous les électeurs du pays et sert à gérer les listes électorales, les procurations ou encore les soutiens citoyens à des propositions de loi. Autant dire qu'il est particulièrement sensible. La CNIL veut s'assurer qu'il est utilisé uniquement pour ce pourquoi il a été conçu, et qu'aucun acteur n'en détourne les données à d'autres fins.
Les fédérations sportives, l'héritage numérique (et ô combien risqué) des JO
Les Jeux olympiques de Paris 2024 ont donné des envies de sport à beaucoup de Français, et les clubs ont vu leurs inscriptions grimper en flèche. Mais qui dit nouveaux adhérents dit nouvelles données personnelles. Cela inclut les certificats médicaux, les informations sur des mineurs, parfois même des antécédents liés à des infractions. Des informations particulièrement sensibles, que des structures souvent associatives et peu outillées se retrouvent à gérer en grande quantité pour la première fois.
La CNIL avait déjà publié des guides spécifiquement destinés aux structures sportives pour les aider à mieux protéger les données de leurs membres. Maintenant, elle vérifie sur le terrain. Les clubs collectent-ils uniquement les données vraiment nécessaires ? Les conservent-ils le bon laps de temps ? Leurs systèmes informatiques sont-ils suffisamment sécurisés ? On devine que les fuites de données multiples qui ont touché diverses fédérations ces derniers mois, parfois avec de graves dérives, ne sont pas étrangères à ce focus de la CNIL.
Sur le plan européen enfin, la CNIL joue aussi un rôle cette année. Figurez-vous qu'elle coordonne une opération menée avec les autorités de protection des données de toute l'Union européenne, sous l'égide du Comité européen de la protection des données. Chaque pays participant vérifie si les organisations informent correctement les gens sur l'utilisation de leurs données personnelles. Les conclusions seront rassemblées dans un rapport commun, avec bonnes pratiques et axes d'amélioration à la clé. Affaire à suivre, donc.
