Vie des affaires

RGPD

Les principaux manquements sanctionnés par la CNIL en 2024

La Commission nationale de l’informatique et des libertés (CNIL) a dressé le bilan de son action répressive sur 2024. Il en ressort une nette augmentation du nombre des sanctions et mesures correctrices prononcées. Le point sur les principaux manquements réprimés.

Bilan général de l’action répressive de la CNIL sur 2024

Une action répressive en plein essor... – En 2024, la CNIL a prononcé 331 décisions. Sur l'ensemble de ces décisions, 87 correspondent à des sanctions pour un montant total de 55 212 400 €. Soulignons que les sanctions étaient seulement au nombre de 21 en 2022 et de 42 en 2023. Depuis 2022, leur chiffre a donc plus que quadruplé.

Pour le reste, il s’agit de 180 mises en demeure et de 64 rappels aux obligations légales, ce qui est sans précédent pour ce type de mesures.

...boostée par la procédure de sanction simplifiée. – On observe dans la hausse généralisée des mesures prononcées, l’effet de la procédure de sanction simplifiée mise en place il y a 3 ans par la CNIL.

En effet, depuis le 26 janvier 2022, une procédure simplifiée existe pour les affaires sans difficulté particulière. Elle suit les mêmes étapes que la procédure de sanction ordinaire mais ses modalités de mise en œuvre sont allégées, la rendant plus rapide. Quant aux sanctions susceptibles d’être prononcées, elles ne peuvent pas être rendues publiques et consistent en :

Principaux manquements sanctionnés selon la procédure suivie

Procédure ordinaire. – Deux grandes thématiques ressortent des décisions de sanction prononcées dans le cadre de la procédure ordinaire.

D'une part, on constate des manquements récurrents dans la prospection commerciale électronique. À diverses reprises, la CNIL a dû rappeler que les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD (si nécessaire, avec le consentement de la personne et après la fourniture d’une information claire et concise).

D'autre part, concernant les données de santé, la CNIL a rendu plusieurs décisions marquantes en matière d’anonymisation. Elle s’est notamment prononcée sur la qualification des données traitées dans des entrepôts de données de santé.

Procédure simplifiée. – La procédure simplifiée s’est fortement développée. Ainsi, en 2024, elle a donné lieu à 69 sanctions, soit près de trois fois plus qu’en 2023. Cela recouvre 50 amendes, 12 amendes assorties d’une injonction et 6 liquidations d’astreinte, pour un montant total de 715 500 euros, ainsi qu’un rappel à l’ordre.

Comme en 2023, le principal manquement retenu est le défaut de coopération avec la CNIL, qui a concerné 27 organismes (sociétés, professionnels libéraux) sanctionnés pour n’avoir pas répondu à ses sollicitations.

Vient ensuite le manquement pour non-respect de l’exercice des droits avec 23 décisions portant sur des demandes d’effacement, d’opposition ou d’accès.

On trouve aussi le manquement relatif à la sécurité des données personnelles, ainsi que le manquement à la minimisation des données, qu’il s’agisse de commentaires excessifs, d’enregistrement de conversations téléphoniques systématique et en intégralité ou de la surveillance vidéo permanente de salariés à leur poste de travail.

Enfin, 11 organismes ont été sanctionnés pour n’avoir pas permis à l’utilisateur de refuser les cookies aussi simplement que de les accepter, notamment en rendant le mécanisme de refus des cookies plus complexe.

Communiqué de la CNIL du 5 février 2025 « Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL »

Date: 14/01/2026

Url: