La Cnil publie le bilan de son action en 2024. L’Autorité revendique une forte augmentation des mesures correctrices prononcées. Le nombre de sanctions a doublé et les mises en demeure et les rappels aux obligations légales sont en constante hausse.
La Cnil a prononcé 72 amendes
La Cnil a prononcé 331 décisions au total dont 87 sanctions, 180 mises en demeure et 64 rappels aux obligations légales. Les amendes cumulées représentent 55,2 millions d’euros. Les 87 sanctions comportent 72 amendes dont 14 avec injonctions sous astreinte, 8 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la Cnil dans sa décision de sanction) et 4 rappels à l’ordre. Seulement 12 de ces décisions ont été rendues publiques.
La Cnil pointe des manquements récurrents dans la prospection commerciale. Cela concerne le recueil du consentement de manière conforme au RGPD. Les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD (si nécessaire, avec le consentement de la personne et après la fourniture d’une information claire et concise).
Les données de santé doivent être anonymisées
La Cnil souligne également que les données de santé doivent être particulièrement protégées. La Cnil différencie l’anonymisation et la pseudonymisation. Les données de santé doivent être anonymisées. Par exemple, lorsque les données sont collectées à grande échelle par un organisme qui ignorerait l’identité des personnes concernées, ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification. Ces données restent des données personnelles auxquelles la législation s’applique.
Enfin, la formation restreinte a prononcé 3 rappels à l’ordre à l’encontre de ministères notamment pour ne pas s’être assuré, dans le cadre de plusieurs traitements distincts, de l’exactitude des données figurant dans leurs bases de données En particulier, s’agissant du traitement des antécédents judiciaires, la Cnil a relevé que de nombreuses fiches établies par les services de police n’étaient pas mises à jour pour prendre en compte les décisions de relaxe ou d’acquittement.
La Cnil sanctionne l’absence de coopération avec ses services
La Cnil constate que le défaut de coopération avec la Cnil a concerné 27 organismes (sociétés, professionnels libéraux) sanctionnés pour n’avoir pas répondu à ses sollicitations. C’est ensuite le non-respect de l’exercice des droits qui a été le plus sanctionné par la Cnil, avec 23 décisions concernant un manquement relatif au non respect d’une demande d’effacement, d’opposition ou d’accès, ce dernier représentant 16 décisions à lui seul.
Le manquement à la minimisation des données, qu’il s’agisse de commentaires excessifs, d’enregistrement de conversations téléphoniques systématique et en intégralité ou de la surveillance vidéo permanente de salariés à leur poste de travail, est sanctionné dans 10 décisions.
Les principes de sécurité informatique doivent être appliqués
Le manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 11 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données, comme l’utilisation de mots de passe insuffisamment robustes, le stockage de mots de passe en clair ou l’absence de politique d’habilitation.
Cela concerne aussi l’utilisation d’une version obsolète du protocole TLS pour assurer la confidentialité et l’intégrité des informations qui circulent entre le serveur et le navigateur de l’utilisateur. Enfin, 11 organismes ont été sanctionnés pour n’avoir pas permis à l’utilisateur de refuser les cookies aussi simplement que le fait de les accepter. Ils ont notamment rendu le mécanisme de refus des cookies plus complexe.
Les absences de réponse aux demandes d’exercice de droits
La Cnil insiste sur le fait qu’elle reçoit de nombreuses plaintes concernant l’absence de réponse aux personnes qui demandent l’exercice de leurs droits. Ces droits sont le droit d’accès aux données, le droit d’opposition ou le droit à l’effacement des données. Plusieurs dizaines d’organismes ont été mis en demeure d’apporter une réponse à ces demandes et, en cas d’inaction, la Cnil a engagé une procédure de sanction à l’encontre de plusieurs d’entre eux.
