La CNIL a publié, le 5 février 2025, le bilan de ses mesures répressives en 2024.
Divers manquements à l'origine des sanctions
Le bilan relève des manquements récurrents dans le cadre de la prospection commerciale :
- des organismes ne se sont pas assurés que les données personnelles acquises auprès de courtiers en données ou d'autres partenaires ont été collectées dans des conditions conformes au RGPD ("si nécessaire, avec le consentement de la personne et après la fourniture d’une information claire et concise") ;
- un fournisseur de messagerie électronique insérant des publicités entre les courriels reçus dans la boîte de réception des utilisateurs n'a pas préalablement recueilli leur consentement.
Plusieurs sanctions ont été prises en raison du non-respect de l'anonymisation de données de santé. "Ces données restent pseudonymes et non anonymes dès lors qu’elles sont reliées entre elles par un identifiant et présentent ainsi un risque de réidentification", rappelle la CNIL.
Le nombre de mises en demeure toujours en augmentation
La CNIL souligne que les 180 mises en demeure et les 64 rappels aux obligations légales prononcées en 2024 sont sans précédent pour ce type de mesures.
La CNIL a la possibilité d'enjoindre des organismes qui ne respectent pas des dispositions du RGPD ou de la loi à se mettre en conformité dans un délai imparti.
Les mises en demeure concernent principalement :
- le dossier patient informatisé (DPI) qui centralise l’ensemble des données de santé des patients pris en charge au sein d’un établissement de santé. La CNIL a mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du DPI dont l'accès est réservé aux professionnels habilités ;
- l’absence de réponse d’un organisme à une demande d’exercice d’un droit (droit d’accès aux données, droit d’opposition ou droit à l’effacement des données). La CNIL a mis plusieurs organismes en demeure d’apporter une réponse à ces demandes (en cas d’inaction, elle a engagé une procédure de sanction simplifiée).
