La CNIL ne plaisante plus. Elle avait déjà doublé ses sanctions en 2023 par rapport à 2022 et elle a récidivé en 2024 par rapport à 2023. Elle a infligé plus de 55 millions d'amendes l'année dernière.

La CNIL a intensifié les sanctions en 2024 © T. Schneider / Shutterstock
La CNIL a intensifié les sanctions en 2024 © T. Schneider / Shutterstock

La Commission nationale de l'informatique et des libertés (CNIL) a publié son bilan des sanctions et des mesures correctrices qu'elle a prononcées sur l'année 2024. Elle annonce que le nombre de sanctions a doublé et que celui des mises en demeure et des rappels aux obligations légales sont en constante hausse.

Consentement et explication limpide des conditions sont obligatoires

La CNIL a rendu 331 décisions l'année dernière, dont 87 sanctions (contre 21 en 2022 et 42 en 2023), 180 mises en demeure et 64 rappels aux obligations légales. Parmi les 87 sanctions, 72 prévoyaient le paiement d'amendes, pour un total de 55 212 400 euros.

La prospection commerciale est particulièrement dans le viseur de la Commission. « Les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD », rappelle-t-elle.

Dans ce cadre, deux éléments majeurs doivent être respectés : l'obtention du consentement de la personne et la fourniture d’une information claire et concise pour que l'utilisateur comprenne les conditions qu'il accepte.

La CNIL a infligé plus de 55 millions d'amendes l'année dernière © CNIL
La CNIL a infligé plus de 55 millions d'amendes l'année dernière © CNIL

Des manquements à l'anonymisation des données de santé

Le respect de l'anonymisation des données de santé a été le second grand cheval de bataille de la CNIL en 2024. Elle précise que même si les données de santé « sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification ». Dans un tel cas, « ces données restent des données personnelles auxquelles la législation s’applique », insiste la CNIL.

Le secteur privé n'est pas le seul à être observé par la CNIL, qui a aussi épinglé des ministères « pour ne pas s’être assuré […] de l’exactitude des données figurant dans leurs bases de données ». Elle ajoute que « de nombreuses fiches établies par les services de police n’étaient pas mises à jour pour prendre en compte les décisions de relaxe ou d’acquittement », exhortant à un meilleur suivi dans le traitement des antécédents judiciaires.

Source : CNIL