Rapport de la CNIL 2024 : quelles priorités ?

La CNIL a publié son rapport annuel 2024¹, un document qui va bien au-delà d’un simple bilan d’activités. En effet, ce dernier met en lumière une sérieux d’enjeux pour l’avenir numérique, et surtout, la manière dont la CNIL entend réagir face à ces défis de plus en plus complexes. 

Trois points particulièrement saillants émergent de ce rapport : I. l’intensification de l’action répressive, II. l’encadrement indispensable de l’IA et des algorithmes et III. la lutte pour la sécurité des données, face à des risques de plus en plus élevés.

I – Un tournant répressif : la CNIL intensifie ses sanctions

En 2024, la CNIL a intensifié son action répressive dans un contexte marqué par une multiplication des violations de données personnelles. Cette année, la CNIL a franchi un nouveau seuil dans ses capacités d’intervention, avec un doublement des sanctions prononcées par rapport à 2023.

1. La procédure de sanction simplifiée monte en puissance

L’un des changements les plus significatifs réside dans l’introduction de la procédure de sanction simplifiée. Cette procédure permet à la CNIL d’infliger des sanctions rapidement et sans nécessiter une procédure ordinaire plus complexe, lorsque le manquement est courant et ne soulève pas de difficultés d’appréciation juridique (ex : défaut de coopération avec la CNIL ou non-respect de l’exercice des droits)².

En 2024, par l’intermédiaire de cette procédure, elle a adopté 69 sanctions pour un montant total de 715 500€ (avec 62 amendes dont 12 assorties d’injonction sous astreinte et 6 décisions de liquidation d’astreinte), soit un nombre largement supérieur à celui des années précédentes (24 sanctions en 2023). Cette simplification vise à accélérer le processus de sanction, garantissant ainsi une réponse plus rapide aux manquements qui se déclinent majoritairement de la manière suivante en 2024³: 

• Défaut de coopération avec la CNIL : 27 entités concernées ;
• Non-respect de l’exercice des droits (effacement, opposition, accès) : 23 décisions rendues ;
• Minimisation des données (enregistrement systématique et intégral de conservations téléphoniques ou vidéosurveillance permanente de salariés sur leur poste de travail) : 10 sanctions rendues ;
• Sécurité des données (mots-de-passe non robustes ou stockés en clair, absence de politique d’habilitation, utilisation de protocole obsolète) : 11 entités concernées

2. Des contrôles et sanctions en hausse

Parallèlement à cette démarche de sanction, la CNIL a renforcé ses capacités de contrôle pour assurer une surveillance continue des pratiques. En 2024, l’autorité a mené 321 contrôles (166 sur place, 99 en ligne, 44 sur pièces et 12 sur audition) dans le but de vérifier la conformité des acteurs aux obligations prévues par le RGPD.

Le nombre de sanctions ordinaires (amendes, injonctions sous astreinte avec ou sans amende, rappels à l’ordre) a quant à lui, plus que doublé par rapport à 2023 et se décline de la manière suivante : 

• 331 mesures correctrices ;
• 89 sanctions dont 18 en procédure ordinaire devant la formation restreinte (dont 13 amendes avec 2 assorties d’injonction sous astreinte, 2 décisions de liquidation, 3 rappels à l’ordre) et 69 sanctions en procédure simplifiée ;
• 55 212 400€ d’amendes cumulées ;
• 180 mises en demeures ; 
• 64 rappels aux obligations légales par la présidente de la CNIL ;
• 12 sanctions européennes examinées par la CNIL ; 
• 7 sanctions de la CNIL examinées par ses homologues européens ;

3. L’exercice des droits individuels

L’une des fonctions essentielles de la CNIL réside dans la gestion des plaintes déposées par les personnes physiques. En 2024, elle a traité 15 689 plaintes (dont 5 771 ont été rejetées car jugées irrecevables et 9 868 plaintes closes après instruction). A juste titre, une des membres de la CNIL chargée du greffe des plaintes, rappelle que des éléments probants comme des captures d’écran doivent être fournies pour instruire les dossiers de plaintes. En effet, sur près de 5 771 plaintes rejetées car jugées irrecevables, certaines faisaient défaut par rapport aux problématiques soulevées, mais aussi du fait de l’absence de preuve d’une potentielle violation.

Par ailleurs, la CNIL a également reçu 24 947 demandes d’exercice des droits indirects. Cette forte demande témoigne de la confiance du public dans la capacité de la CNIL à défendre les droits des personnes concernées.

En complément, retrouvez notre précédent bilan des sanctions de la CNIL pour mieux comprendre les tendances répressives actuelles.

II. L’indispensable encadrement de l’IA et des algorithmes : la CNIL sur le front de l’innovation

1. Développement responsable des SIA

L’intelligence artificielle n’est plus un concept lointain, presque théorique, réservé aux experts et chercheurs. Elle fait désormais partie du quotidien. Mais qui dit IA, dit aussi risques importants pour la vie privée. L’exploitation massive des données, parfois sans véritable consentement des utilisateurs, soulève des problématiques majeures. La CNIL l’a bien compris et s’engage de manière décisive dans ce domaine.

Le règlement européen 2024/1689⁴, plus communément appelé IA Act ou RIA, qui est entré en application dès février 2025, est une des grandes priorités de la CNIL. L’objectif ? Faire en sorte que l’IA soit développée et déployée dans le respect du RGPD et des droits des individus. La CNIL rappelle dans son rapport 2024 qu’elle a proposé des recommandations en la matière. Les 12 fiches publiées⁵ viennent répondre aux interrogations croissantes des acteurs publics et privés, notamment dans un contexte marqué par l’émergence de l’IA générative. Celles-ci détaillent les étapes clés du développement responsable d’un système d’IA (SIA), à savoir : 

• Déterminer le régime juridique applicable ; 
• Définir une finalité ; 
• Déterminer la qualification juridique des acteurs ;
• Définir une base légale ; 
• Effectuer des tests et vérifications en cas de réutilisation des données ; 
• Réaliser une analyse d’impact si nécessaire ; 
• Tenir compte de la protection des données dès les choix de conception du système ; 
• Tenir compte de la protection des données dans la collecte et la gestion des données ; 
• Mobiliser la base légale de l’intérêt légitime pour développer un système d’IA ; 
• Informer les personnes concernées ; 
• Respecter et faciliter l’exercice des droits des personnes concernées ; 
• Annoter les données ; 
• Garantir la sécurité du développement d’un système d’IA.

2. IA générative

La CNIL insiste aussi sur la nécessité d’une approche réfléchie lors de l’intégration de l’IA générative dans les processus métiers. Ce sont des IA, qui par leur capacité à générer des contenus (texte, code informatique, image, musique, audio, vidéo, etc.), offrent un potentiel créatif et productif immense. Toutefois, leur déploiement doit être très encadré, en particulier lorsqu’elles manipulent des données personnelles. La CNIL recommande de partir des besoins concrets pour choisir des SIA adaptés, tout en évaluant les risques liés à leur utilisation. Par exemple, la CNIL reconnaît que la mise à disposition d’un agent conversationnel pour aider à la rédaction peut poser moins de risques qu’un outil d’aide à la décision en matière de recrutement ou de gestion des relations clients⁶.

Pour anticiper les enjeux de l’IA et du RGPD dans les années à venir, consultez aussi notre analyse du plan stratégique CNIL 2025-2028.

III. Sécurité des données : l’action de la CNIL face à un niveau de risque élevé

1. Violations de données, mauvaises pratiques et recommandations

En 2024, la CNIL a été confrontée à une recrudescence des violations de données d’une ampleur sans précédent (5 629 notifications de violations portées à la connaissance de la CNIL). Ce phénomène met en lumière la nécessité pour les responsables de traitement de renforcer leur posture de cybersécurité. La CNIL, consciente de l’évolution rapide de la menace, a ajusté ses recommandations et guides pour mieux accompagner les acteurs. Par exemple, par l’actualisation de son guide de la sécurité des données personnelles⁷ pour intégrer les évolutions technologiques, comme l’IA, le cloud et les applications mobiles. Ces mises à jour visent à fournir des outils concrets qui tiennent compte des nouvelles vulnérabilités et des pratiques d’attaque courantes.

Elle invite également les acteurs à renforcer leurs mécanismes d’authentification, notamment par l’adoption de l’authentification multi-facteur⁸ et procéder à une gestion rigoureuse des habilitations. 

Selon le rapport de la CNIL, les fuites de données résultent le plus souvent de mauvaises pratiques comme :

• L’utilisation de comptes de connexion génériques ou partagés ;
• L’hameçonnage (phishing) ;
• Logiciels malveillants qui permettent de dérober les données de connexion ;
• La vente de données de connexion par l’utilisateur lui-même ;
• L’utilisation de données provenant de fuites précédentes ;
• L’accès non sécurisé au système d’information (ex : accès libre à tout équipement) ;
• Exploitation de failles de sécurité ;

Causes principales constatées par la CNIL :

• Habilitations trop larges avec accès massif à des données personnelles ;
• Récupération de données via des scripts ;
• Absence de limitation des requêtes ;
• Collecte ou partage excessif de donnée avec un sous-traitant (au-delà des finalités) ;
• Conservation excessive des données en base active ;
• Absence, insuffisance ou inexploitation des indicateurs d’activités anormales ;
• Non-détection de l’exfiltration de données.

La CNIL, en coordination avec des autorités comme l’ANSSI, intensifie ses actions de sensibilisation et de formation pour rendre les acteurs privés et publics plus autonomes face à la cybermenace. Aussi, elle rappelle l’impérativité de notifier les violations de données dans les 72 heures suivant la constatation de l’incident. En 2024, cette vigilance a conduit à une notification de 5 629 violations de données, soit une augmentation de 20% par rapport à l’année 2023.

Pour les entreprises particulièrement exposées aux risques liés à l’informatique en nuage (cloud), la CNIL a mis à jour ses fiches pratiques⁹, recommandant notamment des solutions de chiffrement robustes et des dispositifs de sécurité spécialisés pour protéger les données dans le cloud.

2. Sécurité en santé

Enfin, dans le secteur de la santé, la CNIL a rappelé aux établissements l’impérieuse nécessité de sécuriser les dossiers patients informatisés (DPI)¹⁰. À la suite de plusieurs manquements, des mises en demeure ont été émises pour garantir un accès strictement contrôlé aux données médicales. La gestion des habilitations doit être ajustée en fonction du métier exercé (ex : un agent d’accueil des patients ne doit avoir accès qu’au dossier administratif du patient et non aux données médicales) et tenir aussi compte des « équipes de soins » qui sont effectivement impliquées dans la prise en charge des patients et sont les seules habilités à accéder aux données couvertes par le secret médical.

Dans son rapport, la CNIL recommande de mettre en œuvre les 3 mesures de sécurité prioritaire suivantes : 

• « Sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) » ; 
• « Prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement ne puisse accéder qu’aux dossiers qui le concerne » ;
• « Mettre en place une traçabilité des accès au DPI. Elle doit non seulement permettre d’indiquer qui s’est connecté et à quel moment, mais, plus précisément, qui a accédé à quoi. Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes ».

Découvrez également les bonnes pratiques à adopter lors d’un audit RGPD pour anticiper les contrôles de la CNIL et renforcer votre conformité.

Conclusion : 

Le rapport 2024 montre une autorité plus réactive, plus technique et plus stratégique. La CNIL ne se contente pas de sanctionner : elle anticipe, encadre et accompagne. Pour les entreprises, ces orientations appellent une vigilance accrue sur les responsabilités, la gouvernance des traitements et l’intégration des principes de protection des données dès la conception.

Le cabinet Aumans Avocats vous accompagne dans l’analyse de ces priorités et leur traduction concrète dans vos activités. Que vous soyez un organisme public, une PME ou une entreprise innovante, nous vous aidons à mettre en place une conformité solide, durable et adaptée à votre réalité opérationnelle.

Contactez-nous pour un accompagnement juridique personnalisé en matière de protection des données personnelles.

Sources:

1. https://www.cnil.fr/sites/cnil/files/2025-04/rapport_annuel_2024.pdf – CNIL, Rapport annuel 2024 ↩︎
2.  Ibid, p30 ↩︎
3. Ibid, p35 ↩︎
4. https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=fr – Règlement 2024/1689 sur l’intelligence artificielle (IA Act | RIA) ↩︎
5. https://www.cnil.fr/fr/les-fiches-pratiques-ia – CNIL, Les fiches pratiques IA ↩︎
6. https://www.cnil.fr/sites/cnil/files/2025-04/rapport_annuel_2024.pdf – CNIL, Rapport annuel 2024, p40 ↩︎
7. https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf – CNIL, guide sécurité des données personnelles ↩︎
8. https://www.cnil.fr/fr/recommandation-mfa – CNIL, Authentification multifacteur : les recommandations de la CNIL pour mieux protéger les données ↩︎
9. https://www.cnil.fr/fr/informatique-en-nuage-cloud-la-cnil-publie-deux-fiches-pratiques-sur-le-chiffrement-et-la-securite – CNIL, Informatique en nuage (cloud) : la CNIL publie deux fiches pratiques sur le chiffrement et la sécurité des données ↩︎
10. https://www.cnil.fr/fr/donnees-de-sante-la-cnil-rappelle-les-mesures-de-securite-et-de-confidentialite-pour-lacces-au – CNIL, Données de santé : la CNIL rappelle les mesures de sécurité et de confidentialité pour l’accès au dossier patient informatisé (DPI) ↩︎