"La cybersécurité, ce n'est pas de temps en temps, c'est au quotidien" – Interview CNIL

L'an dernier, la CNIL a recensé un nombre record de violations de données. Gaston Gautreneau, ingénieur expert à la CNIL le gendarme des données, dresse pour Clubic un état des lieux sans concession sur la cybersécurité, la menace quantique et les données synthétiques.

En 2025, la CNIL a enregistré 6 167 violations de données personnelles, soit 10 % de plus qu'en 2024. Et alors que le RGPD, le règlement général sur la protection des données, est entré en vigueur il y a huit ans désormais, la menace ne faiblit pas.

Nous avons voulu comprendre pourquoi, mais aussi regarder plus loin. Avec Gaston Gautreneau, ingénieur expert à la CNIL, la Commission nationale de l'informatique et des libertés, nous avons abordé trois grands défis qui occupent l'esprit du gendarme des données. D'abord, pourquoi les entreprises et les services publics restent vulnérables. Ensuite, comment se préparer à la menace des ordinateurs quantiques, qui pourraient demain rendre obsolètes nos systèmes de chiffrement actuels. Et enfin, comment les données synthétiques, qui sont des données artificielles qui imitent la réalité sans exposer d'informations personnelles, pourraient transformer la façon dont on entraîne les intelligences artificielles tout en protégeant notre vie privée.

Violation de données, chiffrement et données synthétiques, trois menaces décortiquées par la CNIL

CLUBIC : La CNIL a enregistré 6 167 violations de données en 2025, soit +10 % par rapport à 2024, et a fait de la cybersécurité l'un des 4 axes de son plan stratégique 2025-2028. Malgré huit ans de RGPD, les entreprises semblent encore sous-protégées. Où se situe le vrai problème : dans la réglementation, dans les moyens des entreprises, ou dans la culture du risque ?

Gastron Gautreneau : Je pense que ce qui est avant tout en cause, c'est l'évolution sans précédent des menaces cyber. Il nous faut une prise de conscience collective sur ce sujet. Elle est en cours, mais reste insuffisante, même si elle a déjà permis à de nombreux organismes de faire évoluer leur maturité en matière de cybersécurité.

Tous les acteurs de l'écosystème cyber doivent se mobiliser pour faire face à l'évolution des menaces et entrainer dans leur sillage les organismes, publics comme privés. En effet, au-delà de l'obligation de sécurité imposée par le RGPD, il est nécessaire que la cybersécurité soit considérée comme un enjeu stratégique par tous les organismes. In fine, sécuriser les données, personnelles ou non, est un facteur essentiel de confiance, vis-à-vis de ses clients ou usagers et partenaires, donc aussi de rentabilité ou de capacité à accomplir ses missions, si l'on parle de services publics.

Le monde géopolitique en tension dans lequel nous évoluons et l'hybridation du crime organisé, ont encore élevé le niveau de risque. Désormais, la cybersécurité n'est plus une question technique dévolue aux seuls informaticiens ou à la direction des systèmes d'information des plus grandes structures. Il s'agit d'un enjeu métier, et c'est l'affaire de tous, à titre personnel comme à titre professionnel. Les cyberattaques de masse touchent aujourd'hui tous les types d'organismes, quel que soit leur secteur d'activité ou leur taille.

La réglementation, notamment par le biais d'une approche par les risques, telle que celle proposée par le RGPD, permet de faire évoluer les démarches internes des organismes en leur imposant des obligations de sécurité. Mais il reste du ressort des organismes de prendre en compte ces enjeux et de les intégrer dans les processus projets, en appliquant une démarche pluridisciplinaire entre les équipes métiers, juridiques et techniques notamment.

J'insiste également sur le fait que nos observations sur le terrain montrent que certains réflexes permettent aux particuliers de limiter drastiquement les risques : mettre en place l'authentification multifacteur quand cela est possible, utiliser des mots de passe différents pour chaque service, utiliser un gestionnaire de mots de passe pour en simplifier la gestion, s'assurer du chiffrement de son ordinateur portable, faire des sauvegardes et faire les mises à jour logicielles. Ces cyber-réflexes doivent être maitrisés de tous.

De même, il faut garder en tête que les attaques sont souvent initiées par un message de phishing/hameçonnage. Privilégiez l'accès au service concerné via le web ou via l'application mobile et ne cliquez par sur les liens dans les messages.

Enfin, la cybersécurité est une affaire du quotidien et non une question à laquelle on répond une fois de temps en temps. Il s'agit d'un processus d'amélioration continue et qui ne souffre pas d'exceptions.

CLUBIC : Gaston, on parle beaucoup de la menace qui consiste à « casser » demain des données chiffrées avec un ordinateur quantique. La CNIL commence à recommander la transition vers des algorithmes post-quantiques. De votre point de vue, est-ce une mise à jour technique « classique » ou un chantier de refonte structurelle qui risque de paralyser les entreprises les moins agiles ?

La CNIL suit bien sûr avec attention ce sujet, le chiffrement étant la brique essentielle permettant d'assurer la confidentialité des communications dans le monde numérique hyperconnecté dans lequel nous vivons aujourd'hui. Bien que nous n'ayons pas émis de recommandation à ce jour, ce sujet s'inscrit dans le cadre de l'évolution continue des bonnes pratiques de sécurité pour assurer la protection des données. La menace de l'ordinateur quantique nécessitera de les faire évoluer en s'appuyant notamment sur une stratégie d'hybridation des algorithmes de cryptographie asymétrique avec, ou de remplacement par, une nouvelle génération d'algorithmes. Le rythme de cette transition devra suivre l'évolution des capacités de la menace, de l'état de l'art ainsi que du contexte, et s'inscrire en cohérence avec les actions des autres autorités opérant sur le champ de la cybersécurité, en particulier les agences nationales, telles que l'ANSSI en France.

Pour répondre à votre question, je pense qu'il faut distinguer deux cas. Celui d'un client final tout d'abord, utilisant des solutions numériques du marché pour construire son système d'information. Ce cas est à différencier de celui d'une entreprise qui fournit et développe des solutions de sécurité ou intégrant de la sécurité ou de l'électronique embarquée.

Dans le premier cas, la migration peut consister, lors du renouvellement du parc informatique et des contrats avec les sous-traitants, à se fournir uniquement avec des solutions qui ont intégré la cryptographie post-quantique ou qui ont intégré un plan de migration et s'engagent sur les conditions de sa mise en œuvre. Il s'agirait alors de maîtriser son système d'information et de cartographier les usages du chiffrement, pour s'assurer de la migration possible de l'ensemble des briques technologiques lorsque cela devient nécessaire.

Dans le second cas en revanche, il est nécessaire de garantir une évolution possible des produits en intégrant la possibilité de recourir à des algorithmes et des solutions matérielles résistant aux attaques quantiques. Ce type d'acteur est plus directement impacté dans son activité et l'évolution qui le concerne s'inscrit en amont afin d'être en mesure d'alimenter le marché des solutions.

Il faut garder à l'esprit que la menace quantique n'est pas une fatalité : des solutions cryptographiques existent et commencent à arriver sur le marché. Plus les acteurs anticipent et s'organisent, plus ils seront en capacité d'opérer cette migration rapidement et facilement pour garantir la sécurité des données en adéquation avec les risques.

CLUBIC : Pour entraîner les IA sans piller les données personnelles, on entend beaucoup parler des « données synthétiques » (des données créées artificiellement qui imitent le réel sans identifier personne) et des PETs (Privacy-Enhancing Technologies). Est-ce que, pour vous, le futur de la vie privée repose sur le chiffrement et les mathématiques plutôt que sur le simple consentement par clic, qui semble aujourd'hui à bout de souffle ?

Les données synthétiques sont des données qui reproduisent le plus fidèlement possible la distribution d'un jeu de données initial contenant potentiellement des données personnelles. Pour prendre un exemple du secteur de la santé, les algorithmes permettant de générer des cohortes de patients artificiels se nourrissent en effet de données de « patients réels » collectées dans le cadre de la prise en charge ou de précédentes recherches. On peut ainsi, à l'aide de techniques statistiques, créer une base de données de « patients fictifs » qui reproduit la distribution d'une maladie et de son évolution dans la population sans révéler de données personnelles se rattachant à un patient identifié ou identifiable.

L'avantage de cette méthode, lorsque celle-ci est mise en œuvre avec les garanties suffisantes pour les personnes, est d'obtenir une base de données synthétiques pouvant être librement partagée. On imagine dès lors les bénéfices de ce type de solutions. Dans cet exemple, on peut en effet imaginer que tous les laboratoires de recherche du monde pourront utiliser ces données synthétiques pour étudier la maladie concernée, tout en protégeant la vie privée des patients. On voit donc ici que cette technologie, correctement appliquée, permet d'ouvrir la porte à des développements scientifiques qui pourraient bénéficier à tous.

Ces techniques, qui font partie des « PETs » (Privacy Enhancing Technologies), peuvent donc permettre d'augmenter l'utilité des données, notamment dans des domaines d'intérêt général comme la santé, tout en garantissant un haut niveau de protection pour les personnes. Néanmoins, ces technologies ne pourront pas remplacer tous les usages, et la sécurité des données continuera à s'appuyer sur un socle de mesures techniques et organisationnelles de cybersécurité, sur la responsabilité individuelle et collective des acteurs et, lorsque nécessaire, sur le consentement libre et informé des personnes concernées.