Données : augmentation de 8% des plaintes reçues par la Cnil en 2024 (rapport)

Publié le vendredi 02 mai 2025 à 15h42

Le rapport annuel 2024 de la Commission nationale de l'informatique et des libertés (Cnil) illustre une année dense, marquée par une intensification des actions de contrôle, un accompagnement renforcé à l’innovation responsable, et des enjeux croissants autour de la sécurité des données et de l’intelligence artificielle. L’usage des données de santé reste au cœur des préoccupations du régulateur.

Une année record en termes de plainte reçues

Le rapport annuel de la Commission nationale de l’informatique et des libertés montre une augmentation des plaintes reçues par l’institution, après une année 2023 qui était déjà une année record, avec ses 16 433 plaintes. Ce sont pas moins de 17 772 que la Commission a reçu, soit une hausse de 8% en un an. Parmi ces plaintes, 49 % concerne les télécoms, le web et les réseaux sociaux : cette thématique est suivie par celle du commerce (19 %) et du travail (13 %).

L’année a également été marquée par une activité soutenue en matière d’information et de conseil : plus de 38 000 appels traités, et plus de 1 400 demandes de conseil examinées. À travers ses campagnes de sensibilisation, ses journées thématiques (telles que la Privacy Research Day ou AIR2024), et ses outils pratiques, la CNIL reste un interlocuteur central pour les citoyens, les entreprises et les institutions.

Une intensification des sanctions (+55M d’amendes) dans un contexte de vigilance accrue :

Sur le volet répressif, 2024 s’inscrit dans une dynamique de fermeté. La Cnil a réalisé 321 contrôles, prononcé 87 sanctions (dont 69 selon la procédure simplifiée) pour un total de plus de 55 millions d’euros d’amendes. Elle a aussi émis 180 mises en demeure et 64 rappels à l’ordre. Plusieurs décisions ont porté sur des traitements de données sensibles, notamment les données de santé.

La Cnil a ainsi rappelé que les données pseudonymisées conservaient leur statut de données personnelles dès lors qu’un identifiant permettait leur rapprochement, y compris dans le cadre d’entrepôts de données de santé. Elle a également mis en demeure plusieurs établissements hospitaliers de sécuriser l’accès aux dossiers patients informatisés, pointant une exigence constante de traçabilité et de limitation des accès.

Des données de santé sous haute surveillance

Pour ce qui est du secteur de la santé, l’année 2024 confirme la vigilance constante de la Cnil autour des usages des données de santé. La refonte des référentiels sectoriels de conformité, lancée via une consultation publique, vise à mieux encadrer les conditions de traitement de ces données à haute sensibilité. Les premiers résultats ont été partagés à l’automne, avec une poursuite du travail prévue en 2025.

En parallèle, la Cnil a dû faire face à des violations massives de données, comme celle ayant touché deux opérateurs de tiers payants (Almérys et Viamedis), affectant potentiellement des millions d’assurés. Ces événements soulignent la nécessité de renforcer les dispositifs de sécurité, notamment dans l’écosystème de santé, où les données exposées peuvent donner lieu à des usages frauduleux ou des risques de ré-identification : ce sont 5 629 violations de données qui ont été notifiées en 2024, soit une augmentation de 20 % par rapport à 2023. Bien que la Cnil fasse de la santé – et des données de santé – un secteur important à protéger, les plaintes le concernant ne représente que 3 % de celles reçues en 2024.

L’IA, enjeu central du numérique de demain :

Dans un environnement technologique bouleversé par l’essor de l’intelligence artificielle générative, la Cnil a multiplié ses actions d’analyse et d’encadrement. Elle a publié des recommandations pour concilier IA et RGPD, alerté sur les risques liés aux hypertrucages, et travaillé activement à l’application du futur règlement européen sur l’IA.

En matière de santé, le traitement algorithmique des données personnelles soulève des enjeux particuliers : qualité des données, prévention des biais, transparence des processus d’entraînement. La Cnil insiste sur la nécessité de développer des systèmes éthiques et auditables, capables de justifier leurs décisions médicales.