Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL

février 2025 par CNIL

L’année 2024 est marquée par une forte augmentation de l’ensemble des mesures correctrices prononcées par la CNIL : le nombre de sanctions a doublé et les mises en demeure et rappels aux obligations légales sont en constante hausse.

Les chiffres à retenir

331 décisions au total

dont :

87 sanctions

55 212 400 euros d’amendes cumulées

180 mises en demeure

64 rappels aux obligations légales

En 2024, l’action répressive se caractérise par une augmentation du nombre de mesures adoptées : le nombre total de sanctions prononcées est passé de 21 en 2022 à 42 en 2023 puis 87 en 2024. La CNIL a également prononcé 180 mises en demeure et 64 rappels aux obligations légales, ce qui est sans précédent pour ce type de mesures.

Au total, la CNIL a prononcé 331 mesures correctrices.

Des sanctions toujours aussi diversifiées

En 2024, 87 sanctions ont été prononcées par la CNIL, pour un montant total de 55 212 400 euros. Parmi ces sanctions, 18 ont été prononcées selon la procédure ordinaire et 69 dans le cadre de la procédure simplifiée mise en place en 2022.

Ces sanctions comportent 72 amendes (dont 14 avec injonctions sous astreinte), 8 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) et 4 rappels à l’ordre. 12 de ces décisions ont été rendues publiques.

Bilan des sanctions prononcées par la formation restreinte

Des manquements récurrents dans la prospection commerciale

Parmi les principales thématiques abordées dans les décisions de sanction, figure en particulier la prospection commerciale. La formation restreinte – l’organe de la CNIL en charge de prononcer les sanctions - a ainsi rappelé à plusieurs occasions que les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD (si nécessaire, avec le consentement de la personne et après la fourniture d’une information claire et concise).

Elle a également rappelé qu’un fournisseur de messagerie électronique qui insère des publicités entre les courriels reçus par ses utilisateurs dans leur boite de réception doit préalablement recueillir leur consentement.

Des données de santé qui doivent être particulièrement protégées

La CNIL a également rendu plusieurs décisions marquantes en matière d’anonymisation des données de santé. La formation restreinte s’est en particulier prononcée sur la qualification des données traitées dans des entrepôts de données de santé. Elle a ainsi rappelé que, même lorsqu’elles sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification. Ces données restent des données personnelles auxquelles la législation s’applique.

Enfin, la formation restreinte a prononcé 3 rappels à l’ordre à l’encontre de ministères notamment pour ne pas s’être assuré, dans le cadre de plusieurs traitements distincts, de l’exactitude des données figurant dans leurs bases de données En particulier, s’agissant du traitement des antécédents judiciaires, la formation restreinte a relevé que de nombreuses fiches établies par les services de police n’étaient pas mises à jour pour prendre en compte les décisions de relaxe ou d’acquittement.

Une coopération européenne sur certains dossiers

Parmi ces décisions, 7 ont été adoptées en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD.

En parallèle, la CNIL a examiné 12 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des personnes résidant en France.

Bilan de la procédure de sanction simplifiée

En 2024, la procédure de sanction simplifiée s’est encore développée : le président de la formation restreinte (ou un membre de la formation restreinte) a pu prononcer 69 sanctions, soit près de trois fois plus qu’en 2023. Celles-ci ont donné lieu à 50 amendes, 12 amendes assorties d’une injonction et 6 liquidations d’astreinte, pour un montant total de 715 500 euros, ainsi qu’à un rappel à l’ordre.

En 2024, comme l’année précédente, le principal manquement retenu dans le cadre de la procédure simplifiée est le défaut de coopération avec la CNIL, qui a concerné 27 organismes (sociétés, professionnels libéraux) sanctionnés pour n’avoir pas répondu à ses sollicitations.

C’est ensuite le non-respect de l’exercice des droits qui a été le plus sanctionné par la CNIL, avec 23 décisions concernant un manquement relatif au non respect d’une demande d’effacement, d’opposition ou d’accès, ce dernier représentant 16 décisions à lui seul.

Le manquement à la minimisation des données, qu’il s’agisse de commentaires excessifs, d’enregistrement de conversations téléphoniques systématique et en intégralité ou de la surveillance vidéo permanente de salariés à leur poste de travail, est sanctionné dans 10 décisions.

Le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 11 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation de mots de passe insuffisamment robustes, le stockage de mots de passe en clair, l’absence de politique d’habilitation, ou encore l’utilisation d’une version obsolète du protocole TLS qui permet d’assurer la confidentialité et l’intégrité des informations qui circulent entre le serveur et le navigateur de l’utilisateur.

11 organismes ont enfin été sanctionnés pour n’avoir pas permis à l’utilisateur de refuser les cookies aussi simplement que de les accepter, notamment en rendant le mécanisme de refus des cookies plus complexe.

Les sanctions de la CNIL en 2024 : 87 sanctions pour un montant de 55 millions 212 mille 400 euros. 27 sanctions comportent un manquement de coopération avec la CNIL. 12 décisions européennes étudiées par la CNIL. 7 décisions de la CNIL en coopération avec ses homologues

Augmentation du nombre de mises en demeure

En 2024, la CNIL a prononcé 180 mises en demeure (décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai fixé).

Parmi les thématiques majeures abordées dans ces mises en demeure figurent :

L’accès au dossier patient informatisé (DPI) : ce dossier centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. Il permet aux professionnels de santé d’accéder facilement à leurs informations médicales. La CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé, rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître.

L’absence de réponse à un exercice des droits : la CNIL reçoit de nombreuses plaintes concernant l’absence de réponse d’un organisme à une demande d’exercice d’un droit (droit d’accès aux données, droit d’opposition ou encore droit à l’effacement des données). La CNIL a mis plusieurs dizaines d’organismes en demeure d’apporter une réponse à ces demandes et, en cas d’inaction, engagé une procédure de sanction simplifiée à l’encontre de plusieurs d’entre eux.

D’autres thématiques ont également été traitées dans le cadre de la procédure de sanction simplifiée : vidéosurveillance des salariés à leur poste de travail ou encore insuffisance des mesures de sécurité pour protéger les données.

Les mises en demeure de la CNIL (en volume par année, suit une courbe croissante). 2020 : 49. 2021 : 135. 2022 : 147. 2023 : 168. 2024 : 180.

