Le 5 février 2025, la CNIL a publié son bilan des sanctions et mesures correctrices pour l’année 2024. Celui-ci montre une augmentation du nombre de mises en demeure et de sanctions.
Comme tous les ans, la CNIL a dressé le bilan des sanctions et mesures correctrices prononcées au cours de l’année précédente.
Elle nous indique donc, dans une publication du 5 février 2025, avoir rendu 331 décisions au cours de l’année 2024, (i) dont 87 décisions de sanctions, représentant 55.212.400 euros d’amendes cumulées, (ii) 180 mises en demeure et (iii) 64 rappels aux obligations légales.
Le volume de mises en demeure et de sanctions en nette augmentation
La CNIL met en avant une évolution croissante du nombre de mises en demeure :
- 135 en 2021 ;
- 147 en 2022 ;
- 168 en 2023 ;
- 180 en 2024.
Concernant le nombre de sanctions, celui-ci double chaque année depuis 2022 :
- 21 en 2022 ;
- 42 en 2023 ;
- 87 en 2024.
La procédure de sanction simplifiée n’est pas étrangère à cette tendance, puisque 69 sanctions simplifiées ont été prononcées en 2024, soit trois fois plus qu’en 2023.
Ce que le bilan ne montre pas, en revanche, c’est que le montant total des amendes est en baisse :
- 101.277.900 euros en 2022 ;
- 89.179.500 euros en 2023 ;
- 55.212.400 euros en 2024, dont 50.000.000 euros pour la seule sanction prononcée à l’égard d’Orange.
Des manquements récurrents et des secteurs ciblés
Les principaux manquements sanctionnés en 2024 sont, selon la CNIL :
- Le défaut de coopération avec la CNIL, relevé dans 27 décisions ;
- Le non-respect des droits des personnes concernées, relevé dans 23 décisions, et tout particulièrement le droit d’accès, qui concerne 16 décisions parmi les 23 ;
- Le manquement au principe de minimisation des données, sanctionné dans 10 décisions ;
- Le manquement à l’obligation de sécurité des donnés, retenu à l’encontre de 11 organismes.
Ces sanctions concernent en premier lieu :
- Des activités de traitement liées à la prospection commerciale, qui était un thème de contrôle pour 2022. La CNIL avait, par ailleurs, annoncé s’intéresser, pour 2024, au « recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire ».
- Des traitements de données de santé, la CNIL ayant rendu plusieurs décisions en matière d’anonymisation des données de santé, ainsi qu’au sujet de la qualification des données traitées dans des entrepôts de données de santé. Elle a ainsi rappelé que, « même lorsqu’elles sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification ».
Enfin, la CNIL note que 7 de ces sanctions ont été adoptées en coopération avec ses homologues européens, dans le cadre de la procédure de guichet unique prévue par le RGPD.
Source : https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-bilan-2024-de-laction-de-la-cnil