Le 29 avril 2025, la Commission nationale de l’informatique et des libertés (CNIL) a publié son rapport d'activité 2024. Ses actions répondent à quatre missions principales :
- informer et protéger le grand public ;
- accompagner et conseiller les professionnels et les pouvoirs publics ;
- anticiper et innover ;
- contrôler et sanctionner les manquements au règlement général sur la protection des données (RGPD) et à la loi "Informatique et Libertés".
Nombre record de plaintes reçues en 2024
Le nombre de plaintes reçues atteint 17 772, soit une hausse de 8% en un an alors que 2023 constituait déjà une année record (16 433 plaintes).
La violation des données personnelles inquiète particulièrement la CNIL, notamment les violations de grande ampleur, c’est-à-dire celles qui concernent plus d’un million de personnes. Ce type de violation a doublé en un an. Au total, 40 organismes ont été touchés, parmi lesquels les opérateurs de tiers-payant Almérys, et Viamedis mais aussi France Travail et de grandes enseignes commerciales.
En 2024, la CNIL a prononcé 180 mises en demeure (ordonnant à un organisme de se mettre en conformité dans un délai fixé). Elles concernent principalement :
- le dossier patient informatisé (DPI) qui centralise l’ensemble des données de santé d'un patient ;
- l’absence de réponse d’un organisme à une demande d’exercice d’un droit (droit d’accès aux données, droit d’opposition ou droit à l’effacement des données).
La procédure de sanction simplifiée, instaurée en 2022, représente 69 des 87 sanctions prononcées par la CNIL en 2024. Cette procédure, qui permet une meilleure réactivité et effectivité de l’action répressive de la CNIL, a donné lieu à 62 amendes (dont 12 assorties d’une injonction sous astreinte).
Sur la période 2022-2024, la CNIL a adopté 495 mises en demeure et 150 sanctions, pour un montant cumulé de plus de 245 millions d’euros d’amende dont 55 millions pour la seule année 2024.
Les actions de sensibilisation
L'activité de la CNIL ne se limite pas à l'adoption de sanctions.
Après l'entrée en vigueur du règlement européen sur l'intelligence artificielle (IA), la CNIL a publié des fiches pratiques pour encadrer le développement de l'IA et organise des actions de sensibilisation sur les risques de l'IA.
À propos des violations de données, la CNIL a publié un guide de la sécurité des données personnelles. Elle a notamment listé les mesures prioritaires pour éviter ces violations dont la mise en place d'une authentification à double facteur ou la limitation de l'accès au réseau d'une entreprise ou d'un organisme aux seuls équipements authentifiés.
Quelle protection des données dans l'Union européenne ?
Le Contrôleur européen de la protection des données a publié son rapport d'activité le 23 avril 2025. La protection des données est un droit fondamental, protégé par le droit européen. Le Contrôleur est une autorité indépendante de l'UE chargée de surveiller le traitement des données personnelles par les institutions et les organismes européens.
