En 2024, la CNIL (Commission Nationale de l’Informatique et des Libertés) renforce nettement son action de contrôle et de sanction dans le domaine de la protection des données personnelles. 

Voici les points essentiels à retenir :

1. Un nombre record de mesures correctrices

• 331 décisions prononcées au total.
• 87 sanctions (contre 42 en 2023 et 21 en 2022) pour un montant cumulé de 55 212 400 € d’amendes.
• 180 mises en demeure et 64 rappels aux obligations légales.

Cette hausse confirme la volonté de la CNIL d’assurer un respect plus strict des règles relatives à la protection des données en France.

2. Les infractions les plus souvent sanctionnées

1. Prospection commerciale :
   • Nécessité de vérifier que les données collectées par un partenaire ou un courtier ont été recueillies dans le respect du RGPD.
   • Obligation d’obtenir le consentement avant l’envoi de publicités, y compris lorsqu’il s’agit d’emails insérés dans une boîte de réception.
2. Données de santé :
   • Les données dites « pseudonymes » (reliées entre elles par un identifiant unique) restent des données personnelles dès lors qu’un risque de réidentification existe.
   • Les établissements de santé doivent redoubler de vigilance quant à la sécurité et la confidentialité de ces informations sensibles.
3. Exactitude des données :
   • Certains organismes, y compris des ministères, ont été rappelés à l’ordre pour ne pas avoir mis à jour leurs bases de données (par exemple, prendre en compte les décisions de relaxe ou d’acquittement).
4. Sécurité des données :
   • Usage de mots de passe faibles, stockage en clair, version obsolète de protocole de chiffrement (TLS) ou absence d’une politique de gestion des habilitations.
5. Cookies :
   • 11 organismes sanctionnés pour ne pas avoir permis de refuser les cookies aussi facilement que de les accepter.

3. Procédure de sanction simplifiée

• 69 sanctions prononcées via cette procédure (contre 23 en 2023).
• Principales raisons :
  1. Défaut de coopération avec la CNIL (27 organismes n’ont pas répondu aux sollicitations).
  2. Non-respect de l’exercice des droits (par exemple, refus ou absence de traitement d’une demande d’effacement).
  3. Manquement à la minimisation des données (collecte ou conservation excessive).
  4. Manquement à la sécurité des données (mesures de protection insuffisantes).
• Montant total des amendes de la procédure simplifiée : 715 500 €.

4. Les mises en demeure en forte progression

• 180 mises en demeure en 2024, un record.
• Elles portent notamment sur :
  • Accès au dossier patient informatisé (DPI) : seule une équipe soignante justifiant d’un « besoin d’en connaître » doit y avoir accès.
  • Absence de réponse à l’exercice des droits : la CNIL a contraint plusieurs organismes à se mettre en conformité, sous peine de sanction ultérieure.

5. Coopération européenne

• 7 décisions ont été prises en coordination avec d’autres autorités européennes (dans le cadre du guichet unique du RGPD).
• 12 projets de décisions d’organismes européens ont été analysés par la CNIL pour leur impact sur les personnes résidant en France.

En conclusion

Cette année 2024 marque une intensification de la répression de la CNIL : plus de sanctions, plus de mises en demeure et une attention accrue portée à des secteurs sensibles comme la prospection commerciale et les données de santé.
L’objectif reste de protéger les droits et libertés des citoyens et de soutenir les organismes vers une meilleure conformité, en veillant à ce que chacun se sente en confiance quant à l’utilisation de ses données personnelles.