Bilan des sanctions prononcées par la CNIL en 2024

Bilan des sanctions prononcées par la CNIL en 2024

Ce qu’il faut retenir

Dans son bilan de l’année 2024, la CNIL souligne la forte augmentation des sanctions et autres mesures correctrices prononcées pour non-conformité au RGPD.


Chaque année, la CNIL publie le bilan de ses activités pour l’année précédente. Le 5 février 2025, la Commission a publié son bilan des sanctions et mesures correctrices prononcées en 2024. (1) Celles-ci sont en forte augmentation par rapport à l’année précédente.


1. Un nombre de sanctions et de mesures correctrices en forte hausse

L’activité répressive de la CNIL à l’encontre des organismes (entreprises, administrations, associations) non conformes au RGPD recouvre d’une part les sanctions, généralement accompagnées d’amendes et d’autre part les mises en demeure et rappels à la loi.

En 2024, la CNIL a ainsi prononcé 331 mesures correctrices, dont :

- 87 sanctions, pour un montant total de 55.212.400€ (dont une sanction de 50M d’euros à l’encontre d’ORANGE, prononcée en novembre 2024).

69 sanctions ont en effet été rendues dans le cadre de la procédure simplifiée, pour un montant total de 715.000€. La procédure simplifiée est une nouvelle procédure de contrôle, introduite en 2022.

- 180 mises en demeure et 64 rappels à la loi ont été prononcés, sachant que dans la majorité des cas, mises en demeure et rappels à la loi sont suivis d’effet par les organismes concernés.

La plupart des sanctions et mises en demeure prononcées par la CNIL ne sont pas rendues publiques. Seul un nombre limité de sanctions est publié.


2. Les principales non-conformités sanctionnées

La CNIL a par ailleurs identifié les principaux domaines concernés par des problèmes de conformité au RGPD, notamment :

- Les conditions du recueil du consentement des personnes concernées, dans le domaine de la  prospection commerciale. Les sociétés qui utilisent des bases de données pour de la prospection commerciale (annonceurs, courtiers en données, sociétés d’emailing publicitaire, …) doivent s’assurer auprès des “primo-collectants” (2) que ceux-ci ont effectivement obtenu le consentement des inscrits (“opt-in”) pour recevoir des messages publicitaires, en conformité avec les dispositions du RGPD.

- La pseudonymisation ne vaut pas anonymisation. Plusieurs décisions ont été rendues à l’encontre d’organismes qui stockaient des données de santé. Quand bien même ces organismes ne connaissaient pas l’identité des personnes concernées, leurs données étaient stockées sous pseudonymes. Alors que les données anonymes sont définitivement non-identifiables (et donc, plus soumises au RGPD), les données sous pseudonyme, qui sont reliées par un identifiant, présentent un risque de réidentification et restent donc soumises au RGPD.

- Le non-respect de l’exercice des droits des personnes a été sanctionné à 23 reprises, les organismes en cause n’ayant pas respecté les demandes de droit d’accès des personnes à leur dossier ou compte utilisateur, de droit d’opposition ou d’effacement des données personnelles. Les sanctions ont également concerné des organismes ayant utilisé des mesures complexes pour refuser les cookies.

- Le manquement au principe de minimisation des données. Le principe de minimisation signifie que les données à caractère personnel collectées doivent notamment être pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. 10 sanctions ont été prononcées pour la collecte de commentaires excessifs, d’enregistrement systématique ou en intégralité de conversations téléphoniques et de surveillance vidéo permanente de salariés à leur poste de travail.

- Plusieurs cas de manquement à l’obligation de sécurité des données, tels que des mots de passe insuffisamment robustes, ou leur stockage en clair, l’absence de politique d’habilitation d’accès aux données les conditions d’accès au dossier patient informatisé (DPI) par les professionnels de santé ou l’utilisation d’une version obsolète du protocole de chiffrement TLS.

- Enfin, 27 organismes ont été sanctionnés pour défaut de coopération avec la CNIL suite à des demandes d’information ou lors de procédures de contrôle de conformité.

* * * * * * * * * * *


(1) “Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL”, 5 février 2025

(2) Un “primo-collectant” est un organisme qui collecte des données directement auprès des personnes concernées. Il peut s’agir d’une société qui organise des jeux-concours ou un site de e-commerce, par exemple.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2025

Retourner à la page des Actualités et Publications

Mots clés :

accessibilité numérique (7) adwords (1) ai (15) arcep (3) arcom (7) audiovisuel (3) base de données (3) bitcoin (1) blockchain (5) cbpr (3) cgv (1) chine (1) cloud computing (2) cnil (15) commerce (2) communication (8) compliance (15) confidentialité (2) conformité (9) consommateurs (3) contrat (8) contrefaçon (9) cookies (4) copyright (3) csa (1) cybercriminalité (5) data (1) data privacy framework (2) dma (4) données à caractère personnel (16) données personnelles (28) dpf (2) droit d'auteur (9) dsa (2) e-commerce (9) e-consommateurs (1) enfance (4) etats-unis (4) eu (8) europe (6) formation (1) fraude (2) gdpr (25) google (4) hébergeur (3) ia (11) ico (1) informatique (10) informatique et libertés (4) intelligence artificielle (10) internet (27) jeu vidéo (2) liberté d'expression (2) logiciel (7) loi informatique et libertés (5) loi sren (5) marque (3) métavers (2) méthode agile (2) monnaie électronique (1) moteur de recherche (5) nft (3) nom de domaine (1) numérique (6) originalité (4) privacy shield (2) propriété intellectuelle (11) protection des données (6) publicité (6) référencement (4) réglementation (10) réseau (1) réseaux sociaux (8) responsabilité (8) responsable du traitement (10) rgpd (19) robotique (5) rpa (2) salariés (4) santé publique (1) sécurité (7) singapour (3) site web (1) us (2) vie privée (18)