En 2024, la Commission nationale de l’informatique et des libertés (Cnil) a frappé fort avec un nombre record de sanctions. De 21 en 2022 à 42 en 2023, elles ont bondi à 87 en 2024, pour un total de 55 212 400 euros d’amendes.
« Parmi ces sanctions, 18 ont été prononcées selon la procédure ordinaire et 69 dans le cadre de la procédure simplifiée, soit près de trois fois plus qu’en 2023 », précise l’autorité administrative indépendant dans son bilan 2024. Introduite en 2022, cette procédure permet des sanctions rapides pour les cas ne présentant pas de complexité particulière.
Au total, 72 amendes ont été prononcées, dont 14 assorties d’injonctions sous astreinte. Par ailleurs, 8 décisions ont entraîné une liquidation d’astreinte, impliquant le paiement d’une somme en raison du non-respect d’un ordre émis par la CNIL dans une décision de sanction. De plus, 4 rappels à l’ordre ont été délivrés. Enfin, 12 décisions ont été rendues publiques.
Les principales infractions sanctionnées
La prospection commerciale figure parmi les infractions les plus visées, notamment lorsque des organismes exploitent des données personnelles issues de partenaires primo-collectants.
Un autre manquement majeur concerne la sécurisation insuffisante des données personnelles. Onze organismes ont été sanctionnés pour des failles telles que le stockage de mots de passe en clair, l’absence de politique d’habilitation ou encore l’utilisation d’une version obsolète du protocole TLS, compromettant ainsi la confidentialité et l’intégrité des échanges en ligne.
Une hausse continue des mises en demeure
En parallèle, la Cnil a prononcé 180 mises en demeure en 2024, notamment pour des manquements liés à l’accès aux dossiers patients informatisés et à l’absence de réponse aux demandes d’exercice des droits. Ce chiffre ne cesse d’augmenter depuis 2020, où l’on comptait seulement 49 mises en demeure. À noter qu’une mise en demeure, bien que contraignante, ne constitue pas une sanction.
Lire aussi sur L’Essor de la Sécurité : Le projet de Loi NIS2 déposé au Sénat
Enfin, la CNIL a rendu sept décisions en coopération avec ses homologues européennes, dans le cadre du guichet unique du RGPD. Une procédure qui s’applique lorsqu’un contrôle ou l’instruction d’une plainte concerne un traitement transfrontalier de données personnelles
