Introduction

En 2024, la CNIL a prononcé plus de 85 millions d'euros d'amendes, en hausse de 40 % sur un an. Google a été sanctionné à 325 M€ pour manquement au RGPD sur les cookies publicitaires (décembre 2023). Amazon France Logistique a écopé de 32 M€ pour avoir surveillé abusivement ses salariés. Et Clearview AI a cumulé 20 M€ d'amende en 2022, renouvelée pour non-paiement en 2023.

Au niveau européen, Meta (Facebook) a été frappé d'une amende record de 1,2 milliard d'euros par l'autorité irlandaise (DPC) en mai 2023 pour transferts illicites de données vers les États-Unis. Ces chiffres traduisent une réalité : la donnée personnelle est devenue un actif surveillé et sanctionné.

Objectifs

Objectifs du chapitre

Comprendre la notion de donnée à caractère personnel et les risques qui y sont liés
Maîtriser le cadre juridique : RGPD, CNIL, e-IDAS
Identifier les obligations des entreprises (accountability, privacy by design, DPO)
Appréhender les sanctions et la protection contre l'usurpation d'identité

1. Les enjeux de la protection des données à caractère personnel

1.1 Le besoin de protection

Naviguer sur Internet, utiliser une app mobile ou un outil SaaS professionnel conduit à laisser une multitude de : nom, prénom, adresse IP, géolocalisation, habitudes de navigation, goûts musicaux, opinions politiques...

Ces données révèlent une part importante de la vie privée. Leur traitement comporte trois risques majeurs :

Risque	Auteur	Objectif
Exploitation commerciale	Entreprises	Profilage publicitaire (Google Ads, Meta Ads)
Exploitation politique	États	Surveillance des citoyens (affaire Snowden 2013, Pegasus 2021)
Exploitation frauduleuse	Pirates	Usurpation d'identité, phishing, rançongiciels

Exemple — Le piratage de la Sécu (2024)

En février 2024, les opérateurs de tiers-payant Viamedis et Almerys ont été victimes d'un piratage massif : les données de 33 millions de Français (nom, date de naissance, numéro de Sécu, coordonnées mutuelle) ont été exfiltrées. C'est la plus grande fuite de données jamais enregistrée en France. La CNIL a ouvert une enquête pour vérifier le respect des obligations RGPD des opérateurs.

1.2 Le cadre juridique : le RGPD

La protection repose principalement sur le

Définition — RGPD

Règlement général sur la protection des données. Règlement UE 2016/679 applicable depuis le 25 mai 2018. S'impose à toute organisation traitant des données de résidents européens, même si elle est établie hors UE

Ses apports majeurs :

Amélioration de l'information : l'internaute est informé des données collectées, de la durée de conservation, de la finalité, et en cas de piratage.
Renforcement des droits : droit d'accès, de rectification, de suppression (« droit à l'oubli »), de portabilité, d'opposition.
Consentement explicite : fin des cases pré-cochées.

Les droits des personnes sous RGPD

     ┌─────────────────────────────────────────┐
     │      DROITS DE LA PERSONNE (RGPD)       │
     └──────────────────┬──────────────────────┘
                        │
    ┌───────────┬───────┼───────┬───────────┬─────────┐
    ▼           ▼       ▼       ▼           ▼         ▼
 Information  Accès  Rectif.  Suppression  Portab.  Opposition
   (art.13)  (art.15)(art.16)  (art.17)    (art.20) (art.21)

1.3 La CNIL, gardienne de la conformité

La assure le respect du RGPD en France. Elle dispose :

D'un pouvoir préventif : information, guides, labels de certification
D'un pouvoir curatif :
- Mise en demeure (rappel à la conformité)
- Amendes pécuniaires jusqu'à 20 M€ ou 4 % du chiffre d'affaires annuel mondial (le plus élevé des deux)

Exemple — Les grandes amendes CNIL

Année	Entreprise	Amende	Motif
2019	Google LLC	50 M€	Manque d'information et consentement
2021	Google + Amazon	150 M€ + 35 M€	Cookies sans consentement
2022	Clearview AI	20 M€	Reconnaissance faciale sans base légale
2023	Google (LLC)	325 M€ (CJUE)	Cookies publicitaires
2024	Amazon France Logistique	32 M€	Surveillance excessive des salariés

1.4 La protection contre l'usurpation d'identité numérique

L'usurpation d'identité numérique consiste à collecter les données d'une personne pour se faire passer pour elle (contracter un crédit, tenir des propos diffamants, etc.).

Sanctions pénales (article 226-4-1 du Code pénal) : jusqu'à 1 an d'emprisonnement et 15 000 € d'amende. La victime peut aussi réclamer des dommages-intérêts devant le juge civil.

2. Les conséquences juridiques pour l'entreprise

2.1 La logique d'accountability

Le RGPD a renversé la logique : ce n'est plus à la CNIL de prouver qu'une entreprise fraude, c'est à l'entreprise de prouver sa conformité. C'est la logique d'.

Deux principes guident les entreprises :

Privacy by default : par défaut, le plus haut niveau de protection des données
: intégrer la protection dès la conception

Astuce mémoire

Retenir les 5 piliers de la conformité RGPD :

Registre des traitements
Analyse d'impact (AIPD) pour les traitements à risque
Charte de protection des données
Consentement explicite
DPO (délégué à la protection des données)

Moyen mnémotechnique : R-A-C-C-D → « RAC CD »

2.2 Le rôle du DPO

Le est chargé de :

Informer et conseiller sur les obligations RGPD
Contrôler le respect du règlement
Coopérer avec la CNIL
Être point de contact pour les personnes concernées

En 2024, on estime à plus de 30 000 le nombre de DPO déclarés auprès de la CNIL en France.

2.3 La protection des données des salariés

L'employeur traite de multiples données de ses salariés (paie, évaluation, géolocalisation des véhicules...). Il doit :

Limiter la collecte à ce qui est nécessaire à la gestion du salarié
Sécuriser les données (accès restreints, chiffrement, sauvegardes)
Respecter les droits des salariés (information, accès, rectification)

L'employeur peut encadrer l'usage des outils numériques (règlement intérieur, charte informatique). Il peut en principe consulter les mails professionnels — sauf ceux marqués explicitement « personnel » (arrêt Nikon, Cass. soc. 2 octobre 2001). Il ne peut pas lire les messages d'un compte personnel fermé (jurisprudence constante).

Exemple — L'affaire Amazon France Logistique (2024)

La CNIL a sanctionné Amazon France Logistique de 32 M€ en décembre 2023 pour avoir déployé dans ses entrepôts un système de scanners mesurant en temps réel la cadence et les temps morts des préparateurs. Trois motifs : (1) surveillance excessive, (2) données conservées trop longtemps, (3) information insuffisante des salariés. L'entreprise a dû revoir son système.

3. Le lien avec le droit européen : e-IDAS, DMA, DSA

Le RGPD s'inscrit dans un écosystème réglementaire européen :

: cadre européen de la signature électronique et de l'identité numérique.
: 6 gatekeepers désignés en 2023, obligations renforcées.
: transparence et modération renforcées.

Points clés à retenir

À retenir

Fiche de révision express

1. La donnée personnelle

Toute information identifiant directement ou indirectement une personne
3 risques : commercial, étatique, frauduleux

2. Le RGPD (depuis mai 2018)

Renforce les droits : information, accès, rectification, suppression, portabilité, opposition
Consentement explicite obligatoire
Sanctions : jusqu'à 20 M€ ou 4 % du CA mondial

3. La CNIL

Autorité administrative indépendante
Rôle préventif (guides) et curatif (mises en demeure, amendes)
Exemples 2024 : Amazon France Logistique 32 M€, Google 325 M€

4. Les obligations de l'entreprise

Accountability (pouvoir prouver la conformité)
Privacy by design et by default
DPO obligatoire pour certains traitements
Registre, AIPD, charte, consentement

5. L'écosystème européen

RGPD + e-IDAS + DMA + DSA

Pour aller plus loin

Site CNIL : cnil.fr — guides, modèles de registres, décisions
Règlement RGPD : eur-lex.europa.eu (texte intégral)
Bilan CNIL 2024 : rapport annuel
Chapitres liés :
- → La protection des actifs immatériels dans l'univers numérique
- → La preuve électronique et le contrat électronique

La protection des personnes dans l'univers numérique