Sanctions CNIL 2024 : hausse des mises en demeure

Le bilan des sanctions et mesures correctrices de la CNIL pour 2024

Introduction

Le 5 février 2025, la CNIL a publié son bilan des sanctions et mesures correctrices pour l’année 2024. Ce rapport met en lumière une augmentation significative du nombre de mises en demeure et de sanctions, tout en soulignant une baisse du montant total des amendes. Cet article analyse en détail les chiffres clés et les tendances observées dans ce bilan.

Augmentation des mises en demeure et des sanctions

En 2024, la CNIL a rendu 331 décisions, dont 87 décisions de sanctions représentant un total de 55.212.400 euros d’amendes cumulées. Le nombre de mises en demeure a également augmenté, atteignant 180, tandis que 64 rappels aux obligations légales ont été émis. Cette tendance à la hausse est particulièrement marquée depuis 2022, avec un doublement du nombre de sanctions chaque année : 21 en 2022, 42 en 2023, et 87 en 2024. La procédure de sanction simplifiée a contribué à cette augmentation, avec 69 sanctions simplifiées prononcées en 2024, soit trois fois plus qu’en 2023.

Baisse du montant total des amendes

Malgré l’augmentation du nombre de sanctions, le montant total des amendes a diminué, passant de 101.277.900 euros en 2022 à 55.212.400 euros en 2024. Cette baisse s’explique en partie par la réduction du nombre de sanctions de grande envergure, bien que la sanction de 50.000.000 euros infligée à Orange ait constitué une part significative du total pour 2024.

Manquements récurrents et secteurs ciblés

Les principaux manquements sanctionnés en 2024 incluent le défaut de coopération avec la CNIL (27 décisions), le non-respect des droits des personnes concernées (23 décisions), le manquement au principe de minimisation des données (10 décisions), et le manquement à l’obligation de sécurité des données (11 décisions).

Les secteurs particulièrement ciblés par ces sanctions sont les activités de traitement liées à la prospection commerciale et les traitements de données de santé. La CNIL a notamment insisté sur l’importance du recueil du consentement avant toute réutilisation des données à des fins de ciblage publicitaire. En matière de données de santé, la CNIL a rappelé que même collectées à grande échelle, ces données restent pseudonymes et présentent un risque de réidentification.

Enfin, 7 sanctions ont été adoptées en coopération avec les homologues européens de la CNIL, dans le cadre de la procédure de guichet unique prévue par le RGPD.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Renforcer la coopération avec la CNIL pour éviter les sanctions pour défaut de coopération.
• Assurer le respect des droits des personnes concernées, notamment le droit d’accès.
• Mettre en place des mesures de minimisation des données et de sécurité renforcées.
• Vérifier le recueil du consentement pour le traitement des données à des fins publicitaires.
• Collaborer avec les homologues européens pour une conformité transfrontalière efficace.