Sanctions CNIL : bilan 2024

En 2024, la CNIL a intensifié ses actions pour garantir le respect du RGPD (Règlement Général sur la Protection des Données). Avec une augmentation significative des amendes CNIL et des mises en demeure CNIL, l’Autorité de protection des données en France a renforcé sa vigilance sur les entreprises et organismes publics. Retour sur une année marquée par des sanctions exemplaires et des mesures correctrices sans précédent.
Sanctions CNIL 2024 : des chiffres en forte augmentation
Cette année, la CNIL a rendu 331 décisions, soit une hausse significative des actions répressives. Parmi celles-ci, on note :
- 87 sanctions CNIL
- 55,2 millions d’euros d’amendes cumulées
- 180 mises en demeure CNIL
- 64 rappels aux obligations légales
Le nombre de sanctions CNIL a doublé par rapport à 2023, passant de 42 à 87 décisions.
Cette évolution traduit une volonté claire d’accroître la mise en conformité RGPD et de renforcer la protection des données personnelles.
Quels sont les principaux manquements sanctionnés par la CNIL en 2024 ?
Prospection commerciale illégale et non-respect du consentement
Les sanctions CNIL 2024 ont principalement ciblé des entreprises pratiquant une prospection commerciale non conforme.
➡️ En particulier, la CNIL a rappelé que :
- Les données collectées via des jeux-concours ou des partenaires doivent respecter les règles du consentement RGPD.
- L’insertion de publicités ciblées dans les emails nécessite l’accord explicite des utilisateurs.
Protection des données de santé : vigilance renforcée
La CNIL a également intensifié son action sur la sécurité des données de santé, en sanctionnant plusieurs organismes pour un usage non conforme des entrepôts de données de santé.
➡️ La CNIL a précisé que :
- Les données pseudonymisées ne sont pas anonymes et restent des données personnelles, soumises aux règles du RGPD.
- Le dossier patient informatisé (DPI) doit être sécurisé afin que seules les personnes autorisées puissent y accéder.
Sécurité des données et mesures insuffisantes
La CNIL a sanctionné 11 organismes pour non-respect des bonnes pratiques de cybersécurité :
- Stockage de mots de passe en clair
- Utilisation de protocole obsolète pour le chiffrement des données
- Absence de politique d’habilitation claire
Ces failles de sécurité constituent une violation majeure du RGPD, entraînant des amendes CNIL significatives.
Cookies et consentement : des règles toujours renforcées
La CNIL continue de sanctionner les pratiques abusives liées aux cookies et traceurs. Cette année, 11 décisions ont ciblé des sites web qui rendaient le refus des cookies plus difficile que leur acceptation.
Pour être conforme, un site web doit permettre aux utilisateurs de refuser les cookies aussi facilement que de les accepter.
Sanctions CNIL 2024 : un recours accru à la procédure simplifiée
L’augmentation des sanctions CNIL s’explique aussi par l’essor de la procédure de sanction simplifiée, qui permet un traitement plus rapide des dossiers. En 2024 :
- 69 sanctions ont été rendues dans ce cadre
- 50 amendes ont été prononcées
- 12 amendes avec injonction ont été délivrées
L’un des principaux motifs de sanctions via cette procédure est le défaut de coopération avec la CNIL : 27 organismes ont été sanctionnés pour avoir ignoré les demandes de l’Autorité.
Mises en demeure CNIL 2024 : focus sur les obligations des entreprises
Outre les amendes CNIL, la CNIL a prononcé 180 mises en demeure en 2024. Les secteurs les plus concernés sont :
- Les établissements de santé, pour une sécurisation insuffisante des données patients
- Les entreprises de prospection commerciale, pour absence de consentement clair
- Les employeurs, pour usage abusif de la vidéosurveillance des salariés
- Les plateformes web, pour non-respect des règles relatives aux cookies et traceurs
Les entreprises concernées doivent se mettre en conformité RGPD dans un délai imposé, sous peine de sanctions CNIL plus sévères.
Conclusion : une CNIL plus ferme en 2024
Le bilan 2024 des sanctions CNIL démontre une montée en puissance des contrôles et des sanctions.
Face à cette tendance, la CNIL confirme son ambition de sanctionner les mauvais élèves du RGPD et de valoriser, a contrario, les entreprises ou associations conforme avec le lancement de la certification RGPD des sous-traitants.
