BILAN 2024 DE LA CNIL – FORTE AUGMENTATION DES SANCTIONS
Le nombre total de sanctions prononcées était passé de 21 en 2022 à 42 en 2023. En 2024, ce sont 87 sanctions qui ont été prononcées par la CNIL, pour un montant total de plus de 55 M€.
Ces sanctions comportent 72 amendes, 8 décisions de liquidation d’astreinte et 4 rappels à l’ordre. 12 de ces décisions ont été rendues publiques.
Parmi les principales thématiques abordées dans les décisions de sanction, figure en particulier la prospection commerciale. La CNIL a ainsi rappelé à plusieurs occasions que les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD.
Elle a également rappelé qu’un fournisseur de messagerie électronique qui insère des publicités entre les courriels reçus par ses utilisateurs dans leur boite de réception doit préalablement recueillir leur consentement.
La CNIL a également rendu plusieurs décisions marquantes en matière d’anonymisation des données de santé. Elle s’est en particulier prononcée sur la qualification des données traitées dans des entrepôts de données de santé. Elle a ainsi rappelé que, même lorsqu’elles sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification. Ces données restent des données personnelles auxquelles la législation s’applique.
Enfin, la formation restreinte a prononcé 3 rappels à l’ordre à l’encontre de ministères notamment pour ne pas s’être assuré, dans le cadre de plusieurs traitements distincts, de l’exactitude des données figurant dans leurs bases de données En particulier, s’agissant du traitement des antécédents judiciaires, la formation restreinte a relevé que de nombreuses fiches établies par les services de police n’étaient pas mises à jour pour prendre en compte les décisions de relaxe ou d’acquittement.
A noter que 7 de ces 87 sanctions ont été adoptées en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD. En parallèle, la CNIL a examiné 12 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des personnes résidant en France.
Source : CNIL