Bilan 2024 de l'action de la CNIL : les points principaux à retenir

Un nombre record de mesures correctrices

La CNIL a publié son bilan 2024, révélant un total de 331 mesures correctrices prononcées, dont 87 sanctions pour un montant cumulé de 55 212 400 euros. Le nombre de sanctions a ainsi doublé par rapport à 2023 (42 sanctions) et quadruplé par rapport à 2022 (21 sanctions). Par ailleurs, la CNIL a émis 180 mises en demeure et 64 rappels aux obligations légales, atteignant ainsi un niveau inédit pour ce type de mesures.

Parmi les 87 sanctions prononcées :

18 l’ont été selon la procédure ordinaire et 69 dans le cadre de la procédure simplifiée mise en place en 2022 ;
75 amendes (dont 14 avec injonction sous astreinte) ont été émises ;
8 décisions de liquidation d’astreinte et 4 rappels à l’ordre ont également été prononcés ;
12 de ces décisions ont été rendues publiques.

Les principales thématiques des sanctions

La prospection commerciale figure parmi les principales thématiques abordées dans les décisions de sanction. L’organe en charge des sanctions de la CNIL a rappelé à plusieurs reprises que les organismes qui utilisent des données personnelles à des fins de prospection commerciale électronique, transmises par des partenaires primo-collectants ou des courtiers en données, doivent s’assurer que les conditions de collecte sont conformes au RGPD.

La CNIL a également statué sur plusieurs cas significatifs concernant l’anonymisation des données de santé. Elle a notamment précisé que, même lorsqu’elles sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent « pseudonymes » et non « anonymes », dès lors qu’elles sont reliées entre elles par un identifiant et présentent un risque de réidentification.

Par ailleurs, l’organe de sanction de la CNIL a adressé 3 rappels à l’ordre à différents ministères pour manquement à l’obligation de garantir l’exactitude des données conservées dans leurs systèmes d’information.

Augmentation significative des mises en demeure

La CNIL a prononcé 180 mises en demeure en 2024, poursuivant la tendance à la hausse observée depuis 2020. Parmi les préoccupations principales figurent :

L’accès au dossier patient informatisé (DPI) : plusieurs établissements de santé ont été mis en demeure d’implémenter des mesures garantissant la sécurité de ces dossiers, l’autorité rappelant que seules les personnes justifiant d’un besoin légitime devraient pouvoir accéder aux données médicales des patients.
L’absence de réponse à un exercice des droits : la CNIL a mis plusieurs dizaines d’organismes en demeure d’apporter une réponse aux demandes d’exercice d’un droit (droit d’accès aux données, droit d’opposition ou droit à l’effacement des données).

D’autres sujets ont également fait l’objet de mesures, notamment la surveillance vidéo des employés sur leur lieu de travail et les lacunes dans les dispositifs de protection des données.

Les trois points clés à retenir

En 2024, la CNIL a prononcé 331 mesures correctrices, dont 87 sanctions pour un montant cumulé de 55 212 400 euros.
Le nombre de sanctions a doublé par rapport à 2023, avec une forte augmentation de la procédure de sanction simplifiée.
La prospection commerciale, la protection des données de santé et le respect des droits des personnes concernées figurent parmi les principales thématiques des décisions.