87, c'est le nombre de sanctions que la CNIL affiche avoir prises pendant l'année 2024. L'autorité française de la protection des données a calculé qu'au total, elle avait récolté un montant de 55 212 400 euros à travers ces décisions.

En détaillant un peu ces données, la CNIL explique avoir donné « 72 amendes (dont 14 avec injonctions sous astreinte), 8 décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) et 4 rappels à l’ordre ».

Mais l'autorité a décidé seulement 12 fois de rendre ces décisions publiques. Parmi celles-ci, on se rappelle, par exemple, du scraping sauvage de LinkedIn par Kaspr, qui a écopé d’une amende de 240 000 euros. Ou encore de la sanction contre Orange, à qui la CNIL a infligé « une amende de 50 millions d’euros, notamment pour avoir affiché des publicités entre les courriels des utilisateurs de son service de messagerie électronique, sans leur consentement ».

La CNIL explique avoir notamment ciblé la prospection commerciale dans ses décisions. Elle « a ainsi rappelé à plusieurs occasions que les organismes qui utilisent à des fins de prospection commerciale électronique des données personnelles transmises par des partenaires primo-collectants (qui organisent des jeux-concours par exemple) ou des courtiers en données doivent s’assurer que les conditions dans lesquelles les données ont été collectées sont conformes au RGPD (si nécessaire, avec le consentement de la personne et après la fourniture d’une information claire et concise) ».

Elle ajoute avoir « rappelé qu’un fournisseur de messagerie électronique qui insère des publicités entre les courriels reçus par ses utilisateurs dans leur boite de réception doit préalablement recueillir leur consentement ».

De 21 sanctions en 2022 à 87 en 2024

L'autorité se félicite d'avoir rendu plusieurs décisions marquantes en matière d’anonymisation des données de santé. Elle rappelle que même ainsi traitées, elles « restent des données personnelles auxquelles la législation s’applique ».

Mais si la CNIL met en avant que « le nombre total de sanctions prononcées est passé de 21 en 2022 à 42 en 2023 puis 87 en 2024 », celui-ci reste encore assez faible en comparaison, par exemple, du nombre de décisions que prend son homologue espagnole, l'Agencia Española de Protección de Datos (AEPD). Si celle-ci n'a pas encore communiqué sur ces chiffres de l'année dernière, elle avait pris 367 sanctions en 2023, et même 378 en 2022.

L'autorité déclare néanmoins qu'elle est passée 69 fois par sa procédure de sanction simplifiée, mise en place en 2022. « Soit près de trois fois plus qu’en 2023 », s'enorgueillit-elle, puisqu'elle ne l'avait utilisée que 24 fois à l'époque.

180 mises en demeure en 2024

La CNIL a aussi prononcé 180 mises en demeure, « décision de la présidente de la CNIL ordonnant à un organisme de se mettre en conformité dans un délai fixé », comme elle le précise.

On peut se rappeler que l'autorité annonçait encore en décembre une nouvelle salve de mises en demeure sur les bannières de cookies trompeuses, sans pour autant donner aucune indication sur la suite des événements. Pourtant, en juillet 2024, elle constatait, comme tout internaute peut le faire, que les dark patterns étaient partout.

Parmi ces 180 mises en demeures, l'autorité cite l’accès au dossier patient informatisé : « la CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé, rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître ».

Nous avons expérimenté encore récemment le dépôt d'une plainte à la CNIL pour l'envoi en clair par la Scam d'un mot de passe, sans que rien ne bouge.

• 2025 - 2028 : la CNIL prend le dossier de l’IA sous l’angle de la promotion de l’éthique