Rapport annuel de la CNIL : le bilan et les actions marquantes en 2024
Publié en mai 2025
CNIL Données de santé Données personnelles Cybersécurité Dossier patient informatisé (DPI)
Voir également :Annexes :
Chaque année, la CNIL publie son rapport d'activité pour faire le point sur ses actions autour de ses quatre grandes missions.
En 2024, la CNIL a conduit plusieurs centaines de contrôles d’organismes publics et privés : 331 mesures correctrices ont été prononcées, dont 87 sanctions pour un montant total de plus de 55 millions d’euros d’amendes.
2024 est également une année record pour les plaintes (17772 au total) avec une prédominance marquée pour la thématique « télécoms, web et réseaux sociaux » (49% des plaintes).
La CNIL alerte sur l'ampleur des violations de données personnelles et renforce ses recommandations “pour le développement des systèmes d’IA, sous la forme de 12 fiches pratiques dont 9 sont publiées en version définitive, après concertation avec les acteurs concernés.” avec en particulier des questions-réponses sur l'IA générative.
La protection des mineurs a fait l'objet d'actions de terrains pour sensibiliser les mineurs, leurs parents, les enseignants…
Mais elle s'est également attardée sur le dossier patient informatisé, pour une “piqûre de rappel”. En effet, les accès illégitimes aux données du DPI ont donné lieu à plusieurs alertes, amenant la CNIL à mettre en demeure plusieurs établissements de santé défaillants. À cet égard, la CNIL rappelle les trois mesures de sécurité prioritaires :
"• sécuriser les accès au système grâce à une politique d’authentification robuste (notamment des mots de passe suffisamment complexes) ;
• prévoir des habilitations spécifiques pour que chaque professionnel de santé ou agent de l’établissement ne puisse accéder qu’aux dossiers qui le concerne ;
• mettre en place une traçabilité des accès au DPI. Elle doit non seulement permettre d’indiquer qui s’est connecté et à quel moment, mais, plus précisément, qui a accédé à quoi.
Des contrôles réguliers de ces accès doivent être opérés, afin d’identifier ceux susceptibles d’être frauduleux ou illégitimes."
Pour rappel, le dossier du patient n'est accessible qu'aux professionnels appartenant à l'équipe de soins (article L.1110-12 du code de la santé publique).
Mais la CNIL propose un dispositif d'urgence, en "mode « bris de glace », qui permet aux agents administratifs et professionnels de santé, en cas d’urgence, d’avoir accès à d’autres données pour tout patient. Ce mode doit en revanche faire l’objet d’une traçabilité particulière pour éviter les abus."
La CNIL a lancé une “consultation publique sur un projet de guide contenant 14 fiches illustrées d’exemples concrets pour sécuriser le DPI”.