Mai 2018 : le RGPD entrait en application avec la promesse de transformer en profondeur le rapport des entreprises aux données personnelles. Six ans plus tard, le constat dressé par la CNIL dans son rapport annuel est sans appel : la pression réglementaire n’a jamais été aussi forte, les sanctions n’ont jamais été aussi nombreuses, et les organisations françaises peinent encore à atteindre une conformité réelle. Tour d’horizon chiffré d’une mise en conformité qui reste largement inachevée.
Une activité répressive de la CNIL en forte accélération
L’année 2024 marque un tournant. La CNIL a prononcé 87 sanctions pour un montant cumulé de 55 212 400 euros, soit un doublement par rapport aux 42 décisions de 2023. Cette intensification des contrôles a directement contribué à structurer le marché du DPO externalisé, vers lequel se tournent désormais de nombreuses entreprises pour répondre aux exigences de la conformité RGPD.
Au-delà des sanctions stricto sensu, la CNIL a adopté 331 mesures correctrices sur l’année, dont 180 mises en demeure et 64 rappels aux obligations légales. La procédure de sanction simplifiée, instaurée en 2022, a permis de prononcer 69 décisions en 2024, près de trois fois plus qu’en 2023. Sur la période 2022-2024, le montant cumulé des amendes dépasse 245 millions d’euros, répartis sur 150 sanctions.
Les plaintes déposées par les particuliers atteignent elles aussi un niveau sans précédent. La CNIL a reçu 17 772 réclamations en 2024, en hausse de 8 % par rapport à 2023, qui constituait déjà une année record avec 16 433 saisines.
Quels secteurs concentrent les manquements et les contrôles ?
Les 321 contrôles menés en 2024 dessinent une cartographie précise des zones de fragilité. Le secteur de la santé occupe une place centrale, avec plusieurs mises en demeure visant la sécurité du dossier patient informatisé (DPI) dans des établissements hospitaliers français. La CNIL rappelle que les données de santé ne doivent être accessibles qu’aux professionnels justifiant d’un besoin opérationnel direct.
La prospection commerciale constitue un autre foyer majeur de manquements. Les responsables de traitement utilisant des fichiers issus de partenaires primo-collectants ou de courtiers en données ont été régulièrement sanctionnés en 2024 pour défaut de vérification des conditions de collecte initiale. La gestion des cookies reste également problématique : onze organismes ont été sanctionnés pour avoir rendu le mécanisme de refus plus complexe que celui d’acceptation.
L’année a aussi vu une explosion des violations de données : 5 629 notifications ont été adressées à la CNIL, soit une progression de 20 % en un an, avec une recrudescence inquiétante des incidents touchant plus d’un million de personnes.
Le DPO, pivot organisationnel d’une mise en conformité durable
Face à cette pression croissante, le recours au délégué à la protection des données s’est considérablement développé. Selon l’observatoire publié en 2024 par le ministère du Travail, la CNIL et l’AFCDP, le nombre de DPO désignés est passé de 21 000 en 2019 à 34 440 début 2024. Cette progression témoigne d’une diffusion de la fonction bien au-delà des grands groupes initialement concernés.
L’enquête, qui a mobilisé 3 625 répondants, révèle néanmoins une fragilité structurelle : 57 % des DPO internes ou mutualisés exercent désormais dans des structures de moins de 250 salariés, contre 38 % en 2019. Dans ces organisations, les moyens alloués restent souvent limités, et 85 % des répondants exercent à temps partiel, dont 61 % consacrent moins d’un quart de leur temps de travail à leurs missions de DPO.
C’est dans ce contexte que l’externalisation s’impose comme une réponse organisationnelle pragmatique. Le DPO externe, salarié d’un cabinet spécialisé ou indépendant, offre aux entreprises un accès à une expertise pluridisciplinaire — juridique, technique et opérationnelle. Cette modalité répond aux besoins des PME confrontées à un cadre normatif renforcé par les avis du CEPD et l’arrivée de l’AI Act.
Un chantier qui reste largement ouvert
Six ans après son entrée en application, le RGPD a profondément transformé les pratiques mais n’a pas encore produit la maturité que ses promoteurs attendaient. Le doublement des sanctions sur un an, le record historique des plaintes et la multiplication des violations massives suggèrent que la phase d’adaptation n’est pas close. Pour les entreprises françaises, la protection des données personnelles n’est plus une contrainte ponctuelle à traiter, mais une fonction permanente à structurer dans la durée.