Contact
Nous contacter

Sanctions de la CNIL en 2024 : Bilan et recommandations

  • Publié le: 30 avril 2025

En 2024, la CNIL a renforcé considérablement ses actions répressives avec un nombre record de sanctions et de mesures correctrices. Prospection abusive, sécurité insuffisante, gestion déficiente des données sensibles… Quelles entreprises ont été ciblées, pourquoi et surtout comment éviter ces pièges ? Retour complet sur une année marquante et conseils pratiques pour rester conforme en 2025.

I. Chiffres et grandes lignes : une hausse des sanctions 

En 2024, l’action répressive de la CNIL a connu une augmentation considérable, marquée par un nombre record de sanctions1. En effet, leur nombre total est passé de 21 en 2022, à 42 en 2023, pour atteindre 87 sanctions en 2024, cumulant plus de 55 millions d’euros d’amendes. Ce bond témoigne d’une intensification de l’activité de la CNIL. En plus de ces sanctions, la CNIL a prononcé 180 mises en demeure et 64 rappels aux obligations légales ; des chiffres sans précédent jusqu’alors. Au total, ce sont 331 mesures correctrices qui ont été prononcé sur l’année 2024.

Les sanctions prononcées en 2024 ont été marquées par leur diversité. Parmi celles-ci, 18 ont été adoptées via la procédure ordinaire, tandis que 69 étaient prononcées via la procédure simplifiée2, instaurée en 2022 pour accélérer le processus de sanction de la CNIL. Ces mesures incluent 75 amendes, dont 14 sont assorties d’injonctions sous astreinte. 

En outre, 8 décisions de liquidation d’astreinte ont été prises, obligeant certaines entreprises à payer des sommes en raison du non-respect des ordres précédemment émis par la CNIL. Enfin, ce sont 4 rappels à l’ordre qui ont été émis et 12 décisions qui ont été rendues publiques, renforçant ainsi la transparence de l’action répressive de la CNIL.

Parmi ces chiffres, l’un des éléments marquants est l’usage exponentiel de la procédure simplifiée qui a permis de prononcer 69 sanctions, dont 50 amendes, 12 amendes assorties d’une injonction et 6 liquidations d’astreinte. Ces sanctions se concentrent souvent sur des manquements tels que des défauts de coopération avec la CNIL ou des manquements liés aux droits des personnes concernées, en particulier sur les droit d’accès, d’effacement ou d’opposition.

II. Les sanctions notables de 2024

1. Prospection commerciale abusive et non-respect des consentements

Un des secteurs figurant le plus parmi les sanctions de la CNIL reste la prospection commerciale, notamment lorsqu’elle est réalisée sans obtenir un consentement préalable explicite des personnes concernées. Par sa délibération SAN-2024-019 du 14 novembre 20243, la CNIL a ainsi sanctionné la société Orange SA pour l’absence de recueil du consentement préalable dans le cadre de la prospection commerciale par e-mail. La CNIL a estimé que la société avait manqué aux obligations de l’article L34-5 du Code des postes et des communications électroniques4, qui oblige que toute prospection par voie électronique soit soumise à un accord/consentement préalable du destinataire. En conséquence, Orange a été sanctionné d’une amende significative de 50 Millions d’euros et d’une astreinte destinée à garantir sa mise en conformité​ postérieure.

Découvrez aussi notre article sur les sanctions de la CNIL à l’encontre de la société Accor au sujet de l’absence de consentement des personnes pour la prospection commerciale

2. Données de santé : pseudonymisation et réidentification

Le régime applicable aux données de santé a constitué un autre point d’attention pour la CNIL. Ainsi, la société Cegedim Santé, un acteur dans la gestion des données médicales, a été sanctionnée au titre de la délibération SAN-2024-013 du 5 septembre 20245, en particulier pour un manquement en matière de pseudonymisation des données personnelles. Bien que la société Cegedim estimait que ses données personnelles étaient anonymisées, la CNIL a considéré qu’elles demeuraient des données pseudonymisées, car elles pouvaient être reliées à des personnes grâce à un identifiant unique. Par conséquent, les personnes pouvaient être réidentifiées, avec toutes les conséquences juridiques liées. CEGEDIM a ainsi été sanctionnée à hauteur de 800 000 euros et avec une mise en demeure de se conformer aux obligations de sécurisation des données sensibles​. Cette sanction apporte un focus supplémentaire aux enjeux liés à l’anonymisation et à la pseudonymisation.

Découvrez aussi notre article sur les sanctions de la CNIL de la société DEDALUS BIOLOGIE qui s’est vu infliger une amende d’1,5 millions d’euros pour leur gestion des données médicales

3. Les pratiques de collecte illicite de données : l’exemple de KASPR

La société KASPR, spécialisée dans la collecte d’informations professionnelles sur LinkedIn, a fait l’objet d’une sanction pour avoir collecté et exploité les données personnelles de milliers de professionnels sans respecter les obligations du RGPD. La CNIL a reproché à KASPR de ne pas avoir informé suffisamment les personnes concernées sur la manière dont leurs données étaient collectées, ni d’avoir obtenu leur consentement explicite préalable avant cette collecte. 

Par une délibération SAN-2024-020 du 5 décembre 20246, KASPR a donc été sanctionnée à une amende administrative s’élevant à 240 000 euros, assortie d’une injonction de mettre ses pratiques en conformité sous peine d’astreinte​.

4. La mise en œuvre insuffisante de la sécurité des données personnelles

En 2024 aussi, plusieurs sanctions ont concerné des entreprises qui n’avaient pas mis en œuvre de mesures suffisantes pour assurer la sécurité des données personnelles. 

La société Particulier à Particulier – PAP – (délibération SAN-2024-002 du 31 janvier 20247) a fait l’objet d’une sanction pour un manquement à la sécurisation des données personnelles de ses utilisateurs. En pratique, la société ne protégeait pas suffisamment les données collectées dans ses systèmes, ce qui les exposaient à des risques de violation. 

En effet, en plus de recourir à des mots de passe trop permissifs, composés d’un seul caractère unique, des références confidentielles ont été jugées trop faibles et étaient transmises en clair, ce qui facilitait l’accès non autorisé aux données personnelles. Cette référence confidentielle, correspond ici à une combinaison de dix caractères, dont sept sont publics et trois privés. Elle est transmise en clair et sans possibilité de modification à tout utilisateur qui dépose une annonce et qui ne détient pas de compte sur le site PAP. En pratique, cette référence permettait à l’utilisateur d’accéder directement à l’annonce et à l’espace associé sur le site de PAP. La CNIL a retenu que cette référence confidentielle ne garantissait pas un niveau de sécurité suffisant pour protéger les données personnelles et pouvait être aisément accessible aux tiers. Ces pratiques ont conduit à une sanction pécuniaire de 100 000 euros.

III. Quelles bonnes pratiques pour éviter le risque de sanctions de la CNIL ?

1. L’importance du consentement explicite

Les sanctions de la CNIL en 2024 soulignent l’importance de recueillir le consentement explicite des personnes avant de collecter leurs données personnelles, notamment à des fins de prospection commerciale. Ce rappel de la CNIL est opportun, avec le développement de nouvelles formes de prospection commerciale et doit inciter à une revue des conditions de recueil du consentement. 

2. Renforcement de la sécurité des données

Les entreprises doivent renforcer la sécurité des données qu’elles collectent et utilisent. La mise en place de mesures techniques (ex : usage de mots de passe robustes8, chiffrement des données9, etc.) et de mesures organisationnelles (ex : politiques de mots-de-passe, politiques d’accès aux bases de données, etc.) sont essentielles pour créer un écosystème sécurisé et réduire les risques de sanctions.

Ces mesures de sécurité sont d’autant plus importantes à déployer dans un contexte de montée en puissance de la menace cyber. Et elles doivent passer par un déploiement large et systématique, pour permettre de protéger l’ensemble des actifs de chaque organisation. Mesures qui doivent également s’accompagner d’une anticipation d’éventuelles attaques (Gestion de crise : 10 bons réflexes à avoir en cas de cyberattaque). 

3. La protection des données sensibles : une vigilance renforcée

Les entreprises, organismes publics, professionnels de santé, etc. manipulant des données sensibles, telles que les données de santé, doivent accorder une attention particulière aux procédés de pseudonymisation et d’anonymisation. En effet, une donnée anonymisée10 est une donnée pour laquelle il est impossible de réidentifier la personne concernée, que ce soit directement ou indirectement, y compris par le croisement de plusieurs sources. Lorsqu’une donnée est véritablement anonymisée, elle ne constitue plus une donnée personnelle et n’est donc plus soumise au RGPD. Toutefois, l’anonymisation doit être irréversible : toute possibilité résiduelle de réidentification, même à partir de données distinctes ou par inférence, écarte alors cette qualification de donnée anonymisée. Par exemple, si des données peuvent être reliées entre elles pour identifier une personne (corrélation) ou si des éléments supplémentaires peuvent être déduits (comme l’âge ou la situation financière), la donnée n’est alors pas considérée comme anonymisée.

La pseudonymisation11, quant à elle, consiste à remplacer des données directement identifiantes, comme le nom ou le prénom, par des données indirectement identifiantes, comme une suite de numéros. Contrairement à l’anonymisation, la pseudonymisation est réversible, ce qui signifie qu’il est possible de réidentifier la personne, généralement à l’aide d’une clé de déchiffrement ou par recoupement de données. Cette capacité à réidentifier les personnes implique que les traitements de données pseudonymisées demeurent soumis aux obligations du RGPD.

4. La transparence et la coopération avec la CNIL

Enfin, la transparence et une coopération proactive avec la CNIL sont essentielles pour éviter des sanctions. Le non-respect des demandes d’information de la CNIL ou le manque de réponse aux sollicitations peuvent conduire à alimenter une potentielle sanction, comme cela a été le cas pour plusieurs entreprises en 2024.

IV. Perspectives 2025 : quelles priorités pour la CNIL ?

Face à une augmentation continue des risques liés à la sécurité et à la protection des données personnelles, la CNIL a défini ses priorités pour 2025 autour de trois axes majeurs :

  • La sécurité renforcée des données personnelles, notamment face à la hausse des cyberattaques.
  • Le contrôle accru des traitements de données utilisant l’intelligence artificielle, en particulier concernant les décisions automatisées impactant les droits des personnes.
  • La poursuite intensive de la mise en conformité des entreprises à travers des procédures simplifiées et des mesures correctrices rapides.

En 2025, la CNIL accentuera particulièrement sa vigilance sur les secteurs utilisant massivement les données sensibles et sur les pratiques de prospection commerciale digitale, toujours plus exposées à des dérives.

Face à ces défis, l’autorité prévoit un plan stratégique CNIL 2025-2028 spécialement axé sur l’intelligence artificielle, la cybersécurité et une protection renforcée des données personnelles.

Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO

En tant que cabinet d’avocats spécialisé en contrôles et sanctions CNIL et plus globalement sur tout ce qui est  IT / Data et protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique.

Sources :

  1. https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-bilan-2024-de-laction-de-la-cnil – Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL ↩︎
  2. https://www.cnil.fr/fr/la-procedure-de-sanction-simplifiee – La procédure de sanction simplifiée ↩︎
  3. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050760620 – Délibération SAN-2024-019 du 14 novembre 2024 ↩︎
  4. https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155961/ – Code des postes et des communications électroniques, Article L34-5 ↩︎
  5. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050202759 – Délibération SAN-2024-013 du 5 septembre 2024 ↩︎
  6. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000050791828 – Délibération SAN-2024-020 du 5 décembre 2024 ↩︎
  7. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049128617 – Délibération SAN-2024-002 du 31 janvier 2024 ↩︎
  8. https://www.cnil.fr/fr/generer-un-mot-de-passe-solide – Générer un mot de passe solide ↩︎
  9. https://www.cnil.fr/fr/tag/chiffrement – Notion de chiffrement ↩︎
  10. https://www.cnil.fr/fr/technologies/lanonymisation-de-donnees-personnelles – L’anonymisation de données personnelles ↩︎
  11. https://www.cnil.fr/fr/tag/pseudonymisation – Pseudonymisation des données personnelles ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le RGPD