La CNIL a marqué l’année 2024 par une intensification de ses mesures correctrices, bien que le montant total des sanctions infligées ait diminué. Avec un doublement des sanctions prononcées par rapport à l’année précédente, l’autorité de protection des données démontre une volonté accrue de faire respecter les régulations du Règlement général sur la protection des données (RGPD).
Augmentation significative des sanctions malgré une baisse des amendes
En 2024, la CNIL a rendu un total de 87 sanctions, contre 42 l’année précédente, traduisant ainsi sa détermination à surveiller et sanctionner les entités non conformes au RGPD. Néanmoins, ces sanctions se sont accompagnées de montants d’amendes réduits, cumulant 55,2 millions d’euros contre 89,1 millions en 2023. Cette diminution monétaire est principalement attribuée à l’augmentation du recours à la procédure simplifiée.
La procédure simplifiée permet de traiter rapidement les dossiers ne présentant pas de difficulté particulière avec des amendes plafonnées à 20 000 euros. En 2024, cette modalité de traitement plus rapide a été utilisée pour 69 décisions sur les 87 rendues, triplant ainsi son utilisation par rapport à 2023. Cette approche vise davantage à assurer une réactivité en imposant des corrections rapides plutôt qu’à maximiser l’impact financier des amendes.
Focus sur les principales infractions repérées par la CNIL
Les principaux manquements ayant conduit à des sanctions de la CNIL comprennent plusieurs domaines critiques de la protection des données. Notamment, la prospection commerciale électronique et l’insuffisance des mesures de sécurité informatique ont été particulièrement scrutées.
- Manquement à la sécurité des données : Onze organismes ont été sanctionnés pour des failles de sécurité, notamment l’utilisation de mots de passe insuffisamment robustes ou encore le stockage de mots de passe en clair. La négligence de la politique d’habilitation nécessaire pour protéger l’accès aux données était également une infraction commune.
- Minimisation des données : Dix décisions ont relevé un manquement à ce principe fondamental, impliquant notamment la conservation excessive de commentaires, l’enregistrement intégral systématique de conversations téléphoniques, et la surveillance vidéo constante des salariés.
- Collecte et gestion des données personnelles : Les entreprises doivent s’assurer que les conditions de collecte de données respectent les normes RGPD. Les pratiques telles que l’utilisation de données pseudonymisées sans considération suffisante des risques de réidentification ont aussi été sévèrement sanctionnées.
Plaidoyer pour la conformité : le rôle exemplaire de certains secteurs
Outre les sanctions financières, la CNIL a accentué ses recommandations et mises en demeure afin de promouvoir une culture de compliance parmi les différents secteurs d’activité. Le secteur public, par exemple, a vu trois rappels à l’ordre concernant le traitement inexact des antécédents judiciaires. Bien qu’elles n’aient pas toujours entraîné des amendes lourdes, ces actions visent à corriger les erreurs répétées dans la gestion des données sensibles et à prévenir de futures violations.
Le secteur privé, quant à lui, devait souvent faire face à des sanctions pour la non-conformité liée à des pratiques de marketing numérique intrusives, poussant les entreprises à revoir leurs politiques de consentement et de traitement des données individuelles. L’implication de courtiers en données, notamment dans le cadre des campagnes de prospection massives, reste un sujet sensible nécessitant une attention particulière.
L’une des tendances alarmantes de 2024 a été l’augmentation du nombre de violations de données signalées. La CNIL a noté un doublement des incidents affectant plus d’un million de personnes, passant d’une vingtaine en 2023 à environ quarante en 2024.