Accès rapide (Sommaire) :
Une explosion des sanctions et mises en demeure
L’année 2024 marque un tournant dans la politique répressive de la Cnil.
Avec 87 sanctions prononcées, contre 42 en 2023 et 21 en 2022, la progression est spectaculaire.
En parallèle, 180 mises en demeure et 64 rappels aux obligations légales ont été émis, un niveau jamais atteint auparavant.
Les sanctions financières se chiffrent à 55,2 millions d’euros, avec 72 amendes, dont 14 assorties d’injonctions sous astreinte, et 8 liquidations d’astreinte pour non-respect des injonctions précédentes.
La procédure simplifiée introduite en 2022 continue de monter en puissance, représentant 69 des 87 sanctions pour un montant total de 715 500 euros.
Prospection commerciale : le consentement sous haute surveillance
Les infractions liées à la prospection commerciale électronique restent une priorité pour la Cnil.
Les entreprises utilisant des bases de données issues de jeux-concours, courtiers en données ou partenaires tiers doivent s’assurer que le consentement des utilisateurs a été obtenu de manière conforme au RGPD (c’est notamment le cas pour les solutions de prospection par SMS).
Une décision notable concerne un fournisseur de messagerie électronique insérant des publicités entre les courriels reçus par ses utilisateurs sans recueil préalable du consentement.
Cette pratique a été jugée contraire aux règles de protection des données.
Données de santé : l’anonymisation exigée
Les données de santé figurent parmi les catégories les plus sensibles.
La Cnil insiste sur la distinction entre pseudonymisation et anonymisation : dès lors que les données restent liées entre elles par un identifiant, elles ne sont pas considérées comme anonymes et restent soumises au RGPD.
La Cnil a également mis en demeure plusieurs établissements de santé de renforcer la sécurité du dossier patient informatisé (DPI), qui regroupe l’ensemble des informations médicales des patients.
Seules les personnes justifiant d’un besoin d’accès doivent pouvoir consulter ces données.
Des ministères sanctionnés pour des erreurs dans leurs bases de données
L’administration n’échappe pas aux sanctions.
Trois ministères ont été rappelés à l’ordre pour ne pas avoir mis à jour les données contenues dans leurs bases.
En particulier, la Cnil a relevé des erreurs dans le traitement des antécédents judiciaires, avec des fiches policières non mises à jour après des décisions de relaxe ou d’acquittement.
Manque de coopération et non-respect des droits des citoyens
Le défaut de coopération avec la Cnil est l’un des manquements les plus sanctionnés en 2024.
27 organismes (entreprises, professionnels libéraux) ont été condamnés pour absence de réponse aux sollicitations de l’Autorité.
En parallèle, 23 décisions ont concerné des violations des droits des personnes, notamment pour refus d’effacement des données, opposition ou accès aux informations personnelles.
La cybersécurité toujours insuffisante
Les failles de sécurité restent un problème récurrent.
11 organismes ont été sanctionnés pour ne pas avoir mis en place les mesures nécessaires à la protection des données personnelles. Parmi les manquements relevés :
- Mots de passe trop faibles ou stockés en clair
- Absence de politique d’habilitation pour limiter les accès aux données
- Utilisation d’un protocole TLS obsolète, exposant les informations échangées à des risques de piratage
Les cookies : des pratiques toujours abusives
La Cnil a également sanctionné 11 entreprises pour des pratiques abusives liées aux cookies.
Principal problème : les sites concernés ont rendu plus difficile le refus des cookies que leur acceptation, une pratique jugée non conforme aux obligations de transparence et de consentement.
Une coopération renforcée avec les autorités européennes
La Cnil ne travaille pas seule.
En 2024, 7 décisions ont été prises en coordination avec ses homologues européens, dans le cadre du guichet unique du RGPD.
De plus, l’Autorité a étudié 12 projets de décisions de ses homologues, concernant notamment des traitements impliquant des citoyens français.
Quelles obligations pour les entreprises en 2025 ?
Ce bilan confirme que la Cnil renforce sa vigilance et que les entreprises doivent impérativement se conformer aux exigences du RGPD.
Les points clés à retenir :
- La prospection commerciale doit respecter le consentement explicite des utilisateurs
- Les données de santé doivent être anonymisées pour éviter toute réidentification
- Les bases de données doivent être mises à jour régulièrement pour éviter des erreurs préjudiciables
- Le respect des droits des utilisateurs (accès, suppression, opposition) est une priorité
- Les mesures de cybersécurité doivent être renforcées (gestion des mots de passe, chiffrement, protocoles sécurisés)
- Le consentement aux cookies doit être facilement révocable, sans incitation forcée à l’acceptation
Avec des contrôles plus stricts et un volume de sanctions en nette hausse, les entreprises qui négligent la protection des données personnelles s’exposent à des risques financiers et réputationnels majeurs.
2025 s’annonce comme une année charnière pour la mise en conformité.
Principalement passionné par les nouvelles technologies, l’IA, la cybersécurité, je suis un professionnel de nature discrète qui n’aime pas trop les réseaux sociaux (je n’ai pas de comptes publics). Rédacteur indépendant pour LEPTIDIGITAL, j’interviens en priorité sur des sujets d’actualité mais aussi sur des articles de fond. Pour me contacter : [email protected]
