AccueilActualitésCNIL : les grandes sanctions 2024 et ce qu'elles e…
Actualité juridique — Droit numérique

CNIL :
les grandes sanctions 2024 et ce qu'elles enseignent

Par Maître Maxime Moulin, avocat au Barreau de Lille — Février 2025

Prendre rendez-vous Retour au site
Droit numérique 📅 Février 2025 ✍ Maître Maxime Moulin, avocat au Barreau de Lille

2024 : une année de contrôle renforcé

La CNIL a intensifié son activité de contrôle en 2024, avec un focus particulier sur les cookies et traceurs, la prospection commerciale, les violations de données, et la sécurité des systèmes d'information traitant des données de santé. Les secteurs les plus sanctionnés restent le commerce en ligne, les ressources humaines, la santé et les services financiers.

Le montant cumulé des sanctions prononcées a continué de progresser, avec plusieurs décisions à plusieurs millions d'euros. Ce niveau de sanction était inimaginable avant l'entrée en application du RGPD en 2018.

Les motifs de sanction les plus fréquents

  • Absence de base légale pour les traitements : traiter des données sans fondement valable (consentement, intérêt légitime, obligation légale) reste la première cause de sanction
  • Cookies et traceurs sans consentement valable : bannières incomplètes, refus plus difficile qu'acceptation, bouton "tout accepter" sans équivalent "tout refuser"
  • Prospection commerciale non consentie : e-mails, SMS, appels téléphoniques sans opt-in valable ou après désinscription
  • Durées de conservation excessives : conserver des données clients ou prospects au-delà du nécessaire, sans politique documentée
  • Absence de mesures de sécurité adaptées : mots de passe insuffisants, transferts non chiffrés, accès non restreints
  • Non-respect des droits des personnes : pas de réponse dans le délai d'un mois, refus non motivé, impossibilité pratique d'exercer ses droits
⚠ Les PME ne sont pas épargnées

La CNIL a explicitement indiqué qu'elle n'épargne pas les PME. Plusieurs décisions de sanction en 2023-2024 ont visé des entreprises de moins de 50 salariés. La taille de l'entreprise est un facteur atténuant pour le montant — pas une immunité.

Ce que les entreprises doivent corriger en priorité

01
Registre des traitements
Document obligatoire pour toute organisation (art. 30 RGPD). Son absence est systématiquement relevée lors des contrôles.
02
Politique de confidentialité
Doit être précise, lisible et correspondre aux traitements réels. Une politique générique copiée ne satisfait pas à l'obligation.
03
Consentement aux cookies
Le refus doit être aussi simple que l'acceptation. Le bandeau doit permettre de refuser en un clic.
04
DPA avec les sous-traitants
Tout prestataire qui traite des données pour votre compte doit avoir signé un contrat de traitement de données (DPA).

Que faire en cas de mise en demeure ou de contrôle CNIL ?

Une mise en demeure de la CNIL fixe un délai (généralement 3 mois) pour se mettre en conformité. Si ce délai n'est pas respecté ou si la réponse est insuffisante, la CNIL peut engager une procédure de sanction devant sa formation restreinte. Cette procédure est contradictoire — l'organisation peut se défendre et présenter ses arguments.

L'assistance d'un avocat dès la réception de la mise en demeure est fortement recommandée. La réponse doit produire un plan d'action précis et documenté, démontrant que les manquements ont été identifiés et que des mesures correctives ont été engagées.

Ressources liées

Votre situation mérite une analyse précise

La première consultation permet de qualifier les faits, identifier les enjeux et définir la stratégie adaptée à votre dossier.

Prendre rendez-vous au cabinet Consultation en visio Rappel téléphonique

Roubaix (59100) · Lomme (59160) · 09 51 97 59 59 · contact@moulinavocat.fr