Violations de données : 2024, une année record selon la CNIL

Ce mardi 29 avril 2025, la Commission nationale de l’informatique et des libertés a publié son rapport annuel pour l’année 2024, qui dresse le bilan de ses actions autour de ses quatre grandes missions. Une année qui, selon l’autorité indépendante, a été marquée par « une forte augmentation des mesures correctrices » prononcées, ainsi que par une hausse de 20 % des signalements de violation de données personnelles.

87 sanctions prononcées par la CNIL en 2024

Premier enseignement du rapport : le nombre de sanctions infligées par la CNIL a doublé en 2024, avec 331 mesures correctrices, 180 mises en demeure, 64 rappels aux obligations légales et 87 sanctions prononcées, pour un montant total dépassant les 55 millions d’amendes. Une hausse significative, qui s’explique notamment par la « montée en puissance » de la procédure simplifiée, introduite en 2022 et « permettant d’adopter de manière accélérée des amendes avec un plafond de 20 000 euros pour des affaires ne présentant pas de difficulté particulière », rappelle Marie-Laure Denis, présidente de la CNIL. Grâce à ce dispositif, 69 sanctions ont été prononcées cette année, « soit près de trois fois plus qu’en 2023 », souligne le rapport.

En 2024, la CNIL a conduit plusieurs centaines de contrôles d’organismes publics et privés pour faire suite à des plaintes reçues ou des signalements, en fonction de l’actualité ou dans le cadre de ses thématiques prioritaires.

Par ailleurs, il s’agit d’une année record en matière de plaintes : en 2024, la CNIL a traité 17 772 plaintes, ce qui traduit une hausse de 8 % par rapport à 2023. « Pour la troisième année consécutive, la CNIL est parvenue à traiter autant de plaintes qu’elle en a reçues », se félicite l’organisme.

La CNIL s’inquiète de l’augmentation du nombre de violations de données de grande ampleur

En 2024, la CNIL a enregistré 5 629 notifications de violations de données personnelles, tous secteurs d’activité confondus, soit une augmentation de 20 % par rapport à 2023, une année déjà marquée par une hausse de 14 %. Dans son rapport, l’autorité s’inquiète tout particulièrement de la recrudescence des violations « de grande ampleur », impliquant le vol de données de plus d’un million de personnes. En 2024, une quarantaine d’attaques ont ainsi touché « des acteurs privés et publics très présents dans le quotidien des Français », souligne la CNIL, comme France Travail, Cultura, Boulanger ou Auchan. « Le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an », complète le régulateur.

Face à l’évolution de la menace cyber, la CNIL souligne l’urgence d’adopter des « mesures adaptées aux risques », aussi bien pour les entreprises que pour les particuliers. Au-delà des « mesures basiques », comme l’utilisation de mots de passe robustes ou les mises à jour régulières, la CNIL, qui a fait de la cybersécurité l’un des piliers de son plan stratégique 2025-2028, recommande la mise en place de « mesures techniques plus avancées ». Elle appelle, par exemple, les entreprises à déployer un système de double authentification, notamment pour sécuriser les accès à distance, ainsi qu’à restreindre l’accès au réseau « aux seuls équipements authentifiés ».

Accéder au rapport complet