Contact
Nous contacter

Un an de sanctions de la CNIL : bilan et points d’attention

  • Publié le: 24 janvier 2025

L’année 2024 a été marquée par une intensification des sanctions prononcées par la CNIL1. Dans un contexte où la protection des données personnelles devient un enjeu toujours plus critique, la CNIL a poursuivi ses efforts pour contrôler le respect du RGPD et de la Loi Informatique et Libertés.

Cette année marque également la fin du plan stratégique 2022-2024 de la CNIL2, au cours de laquelle elle a adopté ses dernières thématiques prioritaires de contrôle3 : la collecte des données dans le cadre des Jeux Olympiques et Paralympiques, la protection des données des mineurs collectées en ligne, les programmes de fidélité et tickets de caisse dématérialisés, ainsi que le droit d’accès des personnes concernées. 

Une augmentation du nombre de sanctions, mais une baisse du montant global

En 2024, la CNIL a prononcé 55 sanctions, contre 42 en 2023, un chiffre en hausse constante ces dernières années. Toutefois, le montant global des amendes administratives a diminué, passant de plus de 89 millions d’euros en 2023 à environ 55 millions en 2024.

Le développement de la procédure simplifiée4 explique en partie cette évolution : 38 sanctions ont été rendues via cette procédure (contre 24 en 2023). Cette procédure, plafonnée à une amende maximale de 20 000 €, a surtout été utilisée à l’égard d’entités de taille modeste comme des professionnels de santé, des associations et des PME. Les principaux manquements retenus dans le cadre de cette procédure sont le défaut de coopération avec la CNIL et le manque de sécurité des données.

Plus de diversité des acteurs sanctionnés

  • Organismes publics : plusieurs communes ainsi que trois ministères ont été sanctionnés. Les ministères de l’intérieur et des Outre-Mer ainsi que le ministère de la justice ont été rappelés à l’ordre pour une utilisation inappropriée des données des agents publics, notamment en ce qui concerne l’emploi du fichier des antécédents judiciaires (TAJ) 5.
  • Professionnels de santé : la CNIL a sanctionné plusieurs praticiens, dont des chirurgiens-dentistes, pour des manquements liés au droit d’accès des patients à leurs dossiers médicaux.
  • Secteur commercial : des pratiques publicitaires non conformes, telles que la prospection commerciale effectuée sans consentement préalable6, ont été lourdement sanctionnées en 2024. L’une des sanctions record de 2024 illustre parfaitement cet axe de contrôle renforcé de la CNIL : il s’agit de l’amende infligée à Orange SA7 en novembre dernier, à hauteur de 50 millions d’euros.

Un focus sur les acteurs du domaine de la santé

Les traitements de données de santé ont été au cœur de plusieurs décisions marquantes en 2024. En vertu des articles 65 et suivants de la Loi Informatique et liberté, la constitution d’un entrepôt de données de santé peut nécessiter une autorisation préalable de la CNIL.

Ainsi, une amende pour ce manquement d’un montant de 800 000 € a notamment été prononcée à l’encontre d’une société spécialisée dans la réalisation d’études statistiques en matière de données de santé pour absence de cette autorisation. Ce manquement, relevé à trois reprises cette année, souligne l’importance du respect des différentes recommandations de la CNIL en matière de protection des données de santé. Ces décisions de sanctions soulignent également l’importance pour les acteurs de documenter et de justifier leurs choix dans la conformité des traitements mis en œuvre, notamment lorsqu’ils interviennent hors du périmètre des autorisations de la CNIL.

Liste des principaux manquements identifiés

Comme en 2023, les principaux manquements retenus par la CNIL (environ un tiers des décisions) concernent :

  • La transparence : les défaillances dans l’information préalable obligatoire et le manque de clarté sur les finalités des traitements demeurent des motifs de sanction récurrents.
  • La sécurité des données personnelles : les défaillances en matière de chiffrage, de gestion des mots de passe et de contrôle d’accès ont conduit à de nombreuses sanctions dans divers secteurs d’activités.
  • L’exigence de coopération avec la CNIL : le manque de réactivité lors des contrôles et l’absence de transmission des informations requises ont été épinglés plusieurs fois par la CNIL.

Également, cette année, les manquements liés au droit d’accès, inscrit parmi les axes de contrôle prioritaires pour 2024, figurent parmi les infractions les plus fréquemment sanctionnées.

Quelles leçons en tirer pour 2025 ?

Dans la continuité des décisions rendues les années précédentes, la CNIL a principalement sanctionné des manquements relatifs à la sécurité des données, à la transparence et à la coopération avec l’autorité. 

Renforcer la documentation de sa conformité

La CNIL a développé son expertise et son contrôle concernant des manquements plus spécifiques et/ou techniques, en particulier dans le domaine des données de santé. Les entités doivent désormais aller au-delà d’une conformité purement formelle en étant capables de justifier leurs décisions et choix de mise en conformité. Cela implique une documentation précise des choix opérés, des analyses menées et des mises en balance des intérêts effectuées. A titre d’exemple, les entités concernées pourront s’appuyer sur les prochaines lignes directrices du CEPD sur la transparence et l’intérêt légitime8, lesquelles détailleront et illustreront l’usage des critères retenus pour l’utilisation de cette base légale et l’obligation d’en documenter la mise en balance des intérêts préalables.

Anticiper les thématiques prioritaires de contrôle

L’année 2025 marque également le début du nouveau plan stratégique 2025-20289 de la CNIL, qui oriente ses nouvelles priorités vers des thématiques d’avenir telles que l’intelligence artificielle, la protection des mineurs, la cybersécurité et les usages numériques du quotidien. Bien que les axes précis de contrôle pour 2025 n’aient pas encore été publiés, ils s’inscriront nécessairement dans la lignée de ce nouveau plan. 

Ce bilan d’une année supplémentaire de sanctions de la CNIL démontre que la conformité RGPD est en constante évolution, et qu’elle s’imbrique directement avec les thématiques des nouveaux textes européens, dont l’IA Act. 

Au regard des thématiques annoncées par la CNIL au sein de son nouveau plan stratégique, toute entité souhaitant développer ou recourir à un système d’intelligence artificielle en 2025 devra ainsi veiller à en assurer la conformité au RGPD (et à documenter cette conformité), ainsi qu’aux nouveaux textes européens applicables. 

Faites vous accompagner par un cabinet d’avocat spécialisé en RGPD

En tant que cabinet d’avocats spécialisé en protection des données, nous sommes à votre disposition pour vous accompagner dans tous vos projets. Que vous soyez une startup, une PME ou un groupe d’entreprises, notre expertise vous permettra de naviguer sereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitez pas à nous contacter pour bénéficier de conseils personnalisés et sécuriser votre avenir numérique

Avocat Expert en Conformité RGPD – Aumans Avocats
  1. https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil ↩︎
  2. https://www.cnil.fr/fr/la-cnil-publie-son-plan-strategique-2022-2024 ↩︎
  3. https://www.cnil.fr/fr/les-controles-de-la-cnil-en-2024-donnees-des-mineurs-jeux-olympiques-droit-dacces-et-tickets-de ↩︎
  4. https://www.cnil.fr/fr/la-procedure-de-sanction-simplifiee.
     ↩︎
  5. Délibération SAN-2024-017 du 17 octobre 2024 ↩︎
  6. Article L34-5 du Code des postes et des communications électroniques ↩︎
  7. Délibération SAN-2024-019 du 14 novembre 2024 ↩︎
  8. https://www.edpb.europa.eu/system/files/2024-10/edpb_guidelines_202401_legitimateinterest_en.pdf ↩︎
  9. https://www.cnil.fr/sites/cnil/files/2025-01/plan_strategique_cnil_2025-2028.pdf ↩︎

AUMANS AVOCATS (anciennement FOUSSAT AVOCATS & DEROULEZ AVOCATS)
AARPI
Paris +33 (0)1 85 08 54 76 / Lyon +33 (0)4 28 29 14 92 /
Marseille +33 (0)4 84 25 67 89 / Bruxelles +32 (0)2 318 18 36

Nous contacter

Catégories

Partager

Articles associés

Tous nos articles sur le droit du numérique