Données personnelles : la Cnil explose son record de sanctions en 2024

La Cnil face au raz-de-marée des plaintes en 2024

L'année 2024 aura vu la Cnil encaisser 15.350 plaintes, rapporte cette insitution dans le bilan annuel qu'elle vient de publier. Un record historique qui révèle une fracture grandissante entre pratiques numériques et protection des droits individuels. Et ce n'est pas tout : 24.947 demandes d’exercice des droits indirects (EDI) ont aussi été recensées​.

La multiplication des saisines s’explique notamment par l’utilisation massive des données personnelles, les failles de sécurité flagrantes et l’émergence de nouveaux usages tels que l’intelligence artificielle générative. À ce sujet, Marie-Laure Denis, présidente de la Cnil, a précisé dans le rapport : « L'année écoulée confirme que la CNIL régule un domaine [...] en mouvement, dans une dynamique d’amélioration et de questionnement continus »​.

Quand la Cnil distribue les sanctions sans trembler

En matière de répression, 2024 a marqué une rupture nette. D'après la Cnil, 87 sanctions ont été prononcées pour un total astronomique de 55.212.400 euros d'amendes​. Le rythme est effréné : le nombre de sanctions a quadruplé en deux ans (21 en 2022, 87 en 2024)​.

Parmi les procédures emblématiques de 2024 :

- Orange a écopé de 50 millions d’euros d’amende pour avoir affiché des publicités dans sa messagerie électronique sans le consentement préalable de ses utilisateurs​.
- Uber a été condamné à 290 millions d’euros d’amende par les autorités françaises et néerlandaises pour transfert illégal de données hors UE​.
- Plusieurs communes ont été rappelées à l’ordre pour usage abusif de caméras augmentées analysant les comportements en temps réel​.

La CNIL n'a pas mâché ses mots : elle rappelle que « tout usage de données sensibles sans consentement valide ou conservation excessive de données est sévèrement réprimé »​.

Prospection commerciale, données de santé, cybersécurité : les terrains de chasse de la Cnil

Le spectre d’intervention de la Cnil en 2024 est vaste. Trois champs d’action ressortent particulièrement :

• La prospection commerciale sauvage : La Cnil a tapé du poing sur la table contre les acteurs exploitant des fichiers sans consentement réel. Elle a martelé : « Un fournisseur de messagerie électronique insérant de la publicité doit obtenir le consentement préalable de l’utilisateur »​.
• La protection des données de santé : Face à la croissance des entrepôts de données médicales, la Cnil a rappelé que même des données pseudonymisées restent des données personnelles lorsqu’un identifiant subsiste​.
• Le renforcement de la cybersécurité : Des failles telles que le stockage de mots de passe en clair, l’absence de politique d’autorisation ou encore l’utilisation de versions obsolètes du protocole TLS ont conduit à plusieurs sanctions​.

Une procédure simplifiée devenue arme de dissuasion massive

La procédure de sanction simplifiée, instaurée en 2022, a pleinement pris son envol. En 2024, 69 décisions y ont été rendues contre seulement 24 en 2023.

L'objectif ? Fluidifier et accélérer la réponse répressive. Cela concerne notamment :

• les entreprises ayant ignoré les demandes d'accès ou de suppression de données ; et
• les structures rendant le refus des cookies anormalement complexe.

Selon la Cnil, « le principal manquement sanctionné reste l'absence de coopération avec l'autorité »​.

Une conclusion sans ambiguïté : l'étau se resserre

Exemples concrets à l’appui, 2024 aura été l’année de la démonstration de force pour la Cnil. La montée en puissance de l’autorité est manifeste : multiplication des contrôles, record de sanctions, généralisation de la procédure simplifiée. Plus que jamais, entreprises et collectivités sont sommées de ne plus prendre la protection des données à la légère.