Cnil : le nombre de sanctions prononcées a doublé sur un an
En un an, le volume des sanctions prononcées par la Commission nationale de l'informatique et des libertés (Cnil) a plus que doublé, passant de 42 en 2023 à 87 en 2024, pour un total cumulé de 55,2 millions d’euros d’amendes. Parmi les décisions les plus emblématiques figure celle visant Orange, condamné à verser 50 millions d’euros pour avoir diffusé des contenus publicitaires au sein des boîtes mail de ses utilisateurs sans recueil explicite de leur consentement.
Autre cas d’école, celui d’Uber, dont les transferts massifs de données vers des États tiers hors de l’Union européenne ont entraîné une double sanction coordonnée avec l’homologue néerlandais, pour un montant global de 290 millions d’euros. La Commission a également ciblé plusieurs collectivités locales, rappelées à l’ordre pour usage abusif de dispositifs de vidéoprotection algorithmique, déployés sans évaluation d’impact préalable ni garanties techniques suffisantes.
Autre cas d’école, celui d’Uber, dont les transferts massifs de données vers des États tiers hors de l’Union européenne ont entraîné une double sanction coordonnée avec l’homologue néerlandais, pour un montant global de 290 millions d’euros. La Commission a également ciblé plusieurs collectivités locales, rappelées à l’ordre pour usage abusif de dispositifs de vidéoprotection algorithmique, déployés sans évaluation d’impact préalable ni garanties techniques suffisantes.
Les entreprises qui ne répondent pas aux sollicitations de la Cnil, un manquement à part entière
Au-delà des grandes entreprises, l'autorité administrative indépendante a intensifié ses actions contre les manquements récurrents à la protection des données. La simplification des procédures introduite en 2022 porte désormais ses fruits : 69 sanctions ont été prononcées sous ce régime accéléré en 2024, notamment contre des professionnels refusant de répondre aux demandes d’accès ou de suppression de données. Dans ces cas, la Cnil rappelle que l’absence de réponse constitue un manquement autonome, justifiant une procédure dédiée.
Les manquements aux règles de sécurité informatique ont également été lourdement sanctionnés : stockage de mots de passe en clair, obsolescence des protocoles de chiffrement ou absence de politique d’habilitation. À cela s’ajoutent les pratiques jugées abusives comme la vidéosurveillance continue des postes de travail ou la collecte excessive d’informations dans les échanges téléphoniques. En parallèle, l’autorité a renforcé ses contrôles sur le secteur de la santé, enjoignant plusieurs établissements à sécuriser l’accès aux dossiers médicaux informatisés et à garantir l’exactitude des données, en particulier dans les fichiers liés aux antécédents judiciaires.
Les manquements aux règles de sécurité informatique ont également été lourdement sanctionnés : stockage de mots de passe en clair, obsolescence des protocoles de chiffrement ou absence de politique d’habilitation. À cela s’ajoutent les pratiques jugées abusives comme la vidéosurveillance continue des postes de travail ou la collecte excessive d’informations dans les échanges téléphoniques. En parallèle, l’autorité a renforcé ses contrôles sur le secteur de la santé, enjoignant plusieurs établissements à sécuriser l’accès aux dossiers médicaux informatisés et à garantir l’exactitude des données, en particulier dans les fichiers liés aux antécédents judiciaires.