L’année 2024 a marqué une intensification des actions de la CNIL face à l’accélération des transformations numériques. Entre l’essor des applications mobiles, le déploiement de l’intelligence artificielle, l’explosion des violations de données personnelles et l’évolution des usages dans l’espace public, les enjeux de protection des données se multiplient. Pour y répondre, l’autorité a publié de nouveaux guides pratiques, renforcé sa coopération avec d’autres institutions et accru son nombre de contrôle et de sanction. Retour sur les grandes priorités de l’année et les outils mis à disposition des acteurs publics comme privés.
Un accompagnement avec les évolutions sectorielles et technologiques
Applications mobiles : des recommandations pour mieux protéger la vie privée
En 2023, les Français ont téléchargé en moyenne 30 applications afin de communiquer, se divertir, se déplacer, faire des achats ou dans bien d’autres objectifs encore. Un constant s’impose : l’environnement mobile présente davantage de danger pour la protection des données que le web. En effet, les applications ont accès à des informations personnelles plus variées et parfois plus sensibles comme la localisation en temps réel, les photographies ou les données de santé. De plus, beaucoup d’acteurs sont impliqués dans le fonctionnement ce qui multiplie potentiellement le nombre de personnes ayant accès à ses données.
Après une large consultation publique et une coopération avec l’Autorité de la concurrence, la CNIL a finalement publié des recommandations. Celles-ci s’adressent à l’ensemble de l’écosystème (éditeurs, développeurs et aux différents fournisseurs).
Vidéosurveillance : un guide pour le déploiement des caméras de vidéoprotection
A l’occasion du Salon des maires 2024, la CNIL et l’Association des maires de France ont publié un guide commun pour aiguiller les collectivités territoriales dans la mise en place de dispositifs vidéo conforme à la règlementation relative à la protection des données.
Ont également été publiées ou mises à jour certaines fiches pratiques sur le déploiement de dispositif vidéo dans l’espace public, notamment sur les caméras augmentées, la vidéo-verbalisation ou encore l’interdiction de la captation sonore.
Une intensification de l’action répressive
Un nouveau record de plaintes
Le nombre de plaintes reçues par la CNIL est en hausse de plus de 8 % par rapport à 2023, passant de 16 443 à 17 772. Pour la troisième année consécutive, elle est parvenue à traiter autant de plaintes qu’elle en reçoit.
Pour cela, la CNIL mène d’abord un premier examen de la plainte afin de déterminer si elle est bien compétente pour agir et si les éléments fournis sont assez précis. Si les plaintes sont recevables, avec des éléments probants comme des captures d’écran et, selon la nature et la gravité des faits, l’autorité de protection des données peut décider de rappeler la réglementation applicable à l’organisme en cause ou de mener des investigations plus approfondies. Le cas échéant, une obligation formelle de mettre un terme au manquement ou une sanction peuvent être prononcées.
Un nombre de sanctions ayant plus que doublé
L’année 2024 est marquée par une forte augmentation de l’ensemble des mesures correctrices prononcées par la CNIL. Le nombre de sanctions en en effet plus que doublé. Les mises en demeure et les rappels aux obligations légales sont, de leur côté, en constante hausse.
Il y a eu au total 331 mesures correctrices comprenant 87 sanctions, 180 mises en demeure et 64 rappels aux obligations légales par la Présidente. Sur le nombre total de sanctions, 69 sanctions ont été prononcée après une procédure simplifiée, soit près de trois fois plus qu’en 2023. Sont souvent reprochés : Le défaut de coopération avec la CNIL (pour 27 organismes), le non-respect de l’exercice de leurs droits par les personnes concernées (23), le manquement à la minimisation des données (10) ou encore le manquement relatif à la sécurité des données (11).
A noter que plus de la moitié des dossiers qui avaient aboutis à une sanction avaient pour origine une plainte.
L’indispensable encadrement de l’IA et des algorithmes
Compte tenu du nombre extrêmement important de systèmes reposant sur l’utilisation de données personnelles, la CNIL se prépare activement à être désignée autorité nationale de surveillance du marché. Il y a une obligation pour chaque État membre d’en désigner une avant le 2 août 2025 afin d’assurer une bonne coordination entre les différentes autorités nationales. La CNIL a d’ailleurs déjà lancé un plan d’action pour accompagner les entreprises développant un système d’IA dans la bonne application du RGPD.
En outre, la CNIL a publié 12 fiches pratiques pour encadrer le développement des systèmes d’IA suite à une demande de nombreux acteurs du terrain qui ont fait part à la CNIL de questionnements concernant l’application du RGPD. Les fiches apportent des réponses concrètes illustrées d’exemples aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA. Par exemple, nous pouvons trouver des fiches permettant d’aider à déterminer le régime juridique applicable, la finalité ou encore la base légale.
L’éducation au numérique et la protection des mineurs
La protection des mineurs est l’un des axes clés du plan stratégique de la CNIL 2025-2028. Plusieurs partenariats ont été noués pour s’adresser aux mineurs et à leurs familles.
Notamment, la CNIL apporte son soutien et participe aux évènement et initiatives du ministère de l’Éducation nationale au sujet de l’éducation au numérique. Elle intervient ainsi dans les classes sur l’ensemble du territoire pour promouvoir une culture citoyenne des usages du numérique, faire connaître les droits et devoirs liés à l’usage d’internet et pour expliquer comment protéger sa vie privée en ligne.
Au-delà des interventions dédiées à la sensibilisation des mineurs et de leur famille, la CNIL est allée à la rencontre de tous les publics notamment les personnes les plus en difficulté avec le numérique. Des ateliers intergénérationnels sur la protection des données et des sessions pour les personnes en situation de handicap ont ainsi été réalisés dans cet objectif.
La sécurité des données face à des risques de plus en plus élevés
2024 a été synonyme de violations de données non seulement plus nombreuses mais également d’une ampleur inédite, entraînant le vol de données de millions de Français. En effet, la CNIL a été notifiée de 5 629 violations de données, c’est 20 % de plus qu’en 2023. Surtout, la préoccupation consiste en ce que le nombre de violations touchant plus d’un million de personnes a doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies.
Tous les secteurs d’activités sont concernés. Face à cet enjeu la CNIL a fait de la cybersécurité un des axes majeurs de son plan stratégique 2025-2028. En pratique, son action se traduit par l’accompagnement des organismes, des contrôles et de la sensibilisation.
Des coopérations renforcés en France, en l’Europe et à l’international
Sur le plan national comme au niveau international, la CNIL a intensifié ses partenariats tout au long de l’année. Elle a signé une convention avec l’Arcom et la DGCCRF afin de préciser les modalités de coopération entre les trois autorités dans le cadre de la mise en œuvre du Règlement sur les services numériques (DSA). Cet accord permet de mieux coordonner les actions de régulation à l’égard des plateformes numériques, dans une logique de complémentarité des compétences.
La CNIL a également renouvelé son partenariat avec l’association Départements de France. Ce renouvellement, prévu pour la période 2024-2027, repose sur deux priorités majeures : favoriser la circulation des données au sein des collectivités territoriales et accompagner l’utilisation de l’intelligence artificielle dans les services publics locaux, en veillant à la conformité des projets aux règles de protection des données.
Sur le plan européen, la CNIL a poursuivi son engagement actif au sein du Comité européen de la protection des données (CEPD), contribuant à l’harmonisation des pratiques entre autorités nationales. Elle a notamment pris part aux discussions sur le modèle économique « pay or consent » (« payer ou consentir »), dans le cadre de demandes d’avis formulées par plusieurs autorités, ce qui a permis de renforcer la coopération autour de cette question sensible.
Enfin, cette dynamique de collaboration européenne s’est traduite par des sanctions d’envergure. La CNIL a participé étroitement à une procédure conjointe avec son homologue néerlandais à l’encontre de la société Uber B.V., sanctionnée à hauteur de 290 millions d’euros pour des transferts de données non conformes. Ce travail commun illustre l’efficacité des mécanismes de coopération instaurés par le RGPD à l’échelle de l’Union européenne.
Pour en savoir plus sur les obligations en matière de protection des données ou bénéficier d’un accompagnement personnalisé, n’hésitez pas à consulter notre site ou à nous contacter.