Sanctions CNIL : les erreurs à éviter en 2026

La CNIL n'a jamais été aussi active en matière de sanctions. Sur l'année 2023, l'autorité avait déjà prononcé 42 sanctions pour un montant cumulé de plus de 89 millions d'euros, et la tendance ne s'est pas inversée depuis : la procédure simplifiée permet désormais de sanctionner vite et en nombre, y compris les petites structures. En 2026, les amendes touchent aussi bien les géants du numérique que les PME et les professionnels indépendants. Analysons les erreurs les plus fréquentes et comment les éviter.

Chiffres clés et tendance

Les statistiques de ces dernières années montrent une intensification claire de l'activité répressive de la CNIL :

• 42 sanctions prononcées en 2023 (contre 21 en 2022)
• 89,2 millions d'euros d'amendes cumulées en 2023
• 16 433 plaintes reçues en 2023 (+35 % par rapport à 2021)
• Plusieurs centaines de contrôles réalisés chaque année par les agents de la CNIL
• Des mises en demeure adressées en continu aux organisations non conformes

Le point important pour les PME : la CNIL utilise désormais une procédure simplifiée pour les dossiers ne présentant pas de difficulté particulière. Cela signifie des sanctions plus rapides et plus nombreuses pour les infractions courantes (bannière cookies non conforme, manquement à l'information, etc.). Pour le contexte général, voir notre guide complet RGPD 2026.

Les 5 infractions les plus sanctionnées

1. Dépôt de cookies sans consentement préalable

C'est de loin l'infraction la plus fréquemment sanctionnée. Elle représente environ 40 % des sanctions prononcées.

Ce que la CNIL constate :

• Des cookies analytiques et publicitaires déposés dès la première page, avant toute interaction
• Des bannières qui ne bloquent pas réellement les scripts (bannière cosmétique)
• Des cookies déposés même après un refus explicite de l'utilisateur
• L'absence totale de bannière sur certains sites

Sanctions marquantes :

• Criteo : 40 millions d'euros (défaut de consentement, absence de preuve)
• Microsoft : 60 millions d'euros (cookies Bing déposés sans consentement)
• Voodoo (éditeur de jeux) : 3 millions d'euros (SDK publicitaires sans consentement dans les apps)
• Nombreuses PME : 5 000 à 50 000 euros via la procédure simplifiée

Comment éviter cette sanction :

• Implémenter un blocage technique réel des scripts avant consentement
• Vérifier régulièrement avec les outils de développement (onglet Network et Application)
• Ne pas se fier uniquement à l'affichage de la bannière : tester le blocage effectif

Notre scanner RGPD gratuit détecte précisément ce manquement, et notre guide bannière cookie conforme explique le blocage technique.

2. Information insuffisante des personnes concernées

Le RGPD exige une information transparente, claire et accessible. Les manquements constatés incluent :

• Politique de confidentialité absente ou introuvable
• Information incomplète (pas de mention des droits, des durées de conservation, des destinataires)
• Langage juridique incompréhensible pour le commun des utilisateurs
• Information non mise à jour après ajout de nouveaux traitements

Sanctions marquantes :

• Amazon France : 32 millions d'euros (information insuffisante sur les cookies)
• Clearview AI : 20 millions d'euros (collecte de données biométriques sans information)
• Plusieurs professionnels de santé : 5 000 à 10 000 euros (information patients insuffisante)

Comment éviter cette sanction :

• Rédiger une politique de confidentialité complète et compréhensible (voir notre modèle gratuit)
• La mettre à jour à chaque ajout de service ou modification de traitement
• La rendre accessible depuis toutes les pages (lien en footer)
• Ajouter des mentions spécifiques sur chaque formulaire

3. Défaut de sécurité des données

Les violations de sécurité représentent un volet important des sanctions CNIL :

• Mots de passe stockés en clair ou avec un hachage faible (MD5, SHA1)
• Accès non restreint à des données sensibles
• Absence de chiffrement pour les données de santé ou financières
• Failles connues non corrigées (CMS obsolète, plugins non mis à jour)
• Transmission de données en HTTP (sans chiffrement TLS)

Sanctions marquantes :

• Dedalus Biologie : 1,5 million d'euros (fuite massive de données de santé)
• Discord : 800 000 euros (politique de mots de passe insuffisante, conservation excessive)
• Doctissimo : 380 000 euros (failles de sécurité, défaut d'information)

Comment éviter cette sanction :

• Forcer HTTPS sur tout le site
• Utiliser bcrypt ou argon2 pour le hachage des mots de passe
• Mettre à jour régulièrement tous les composants (CMS, plugins, dépendances)
• Réaliser des audits de sécurité périodiques
• Chiffrer les données sensibles au repos et en transit

4. Non-respect des droits des personnes

Les citoyens ont le droit d'accéder à leurs données, de les faire rectifier ou supprimer. Ne pas répondre à ces demandes expose à des sanctions :

• Absence de réponse à une demande d'accès dans le délai d'un mois
• Refus injustifié d'effacer des données
• Impossibilité technique de supprimer un compte utilisateur
• Demande de justification excessive pour exercer un droit (exiger une photocopie de carte d'identité pour une simple désinscription)

Sanctions marquantes :

• Société d'HLM : 400 000 euros (non-respect du droit d'opposition, collecte excessive)
• Plusieurs sociétés de commerce en ligne : 10 000 à 75 000 euros (impossibilité de supprimer un compte)

Comment éviter cette sanction :

• Mettre en place un processus clair de traitement des demandes
• Prévoir une adresse email dédiée (dpo@, privacy@, ou rgpd@)
• Répondre dans le délai d'un mois (accuser réception immédiatement)
• Permettre la suppression de compte en autonomie quand c'est possible
• Former les équipes à la gestion de ces demandes

5. Collecte excessive de données

Le principe de minimisation impose de ne collecter que les données strictement nécessaires à la finalité déclarée :

• Formulaire de newsletter demandant l'adresse postale, le téléphone et la date de naissance
• Collecte de la pièce d'identité pour une simple inscription à un service en ligne
• Conservation de données au-delà de la durée nécessaire
• Collecte de données « au cas où » sans finalité définie

Sanctions marquantes :

• AG2R La Mondiale : 1,75 million d'euros (conservation excessive, collecte disproportionnée)
• Groupe Accor : 600 000 euros (prospection commerciale sans consentement, collecte excessive)

Comment éviter cette sanction :

• Pour chaque champ de formulaire, se demander : « Est-ce strictement nécessaire ? »
• Définir des durées de conservation pour chaque type de donnée
• Mettre en place une purge automatique des données obsolètes
• Documenter la justification de chaque donnée collectée dans le registre des traitements

La procédure de contrôle de la CNIL

Comprendre comment la CNIL intervient permet de mieux se préparer :

Étape 1 : Le signalement

Les contrôles sont déclenchés par :

• Les plaintes de particuliers (voie la plus fréquente pour les PME)
• Les signalements de violations de données (notification obligatoire en 72 h)
• Les contrôles thématiques programmés (la CNIL publie ses priorités annuelles)
• Les contrôles suite à l'actualité (fuite de données médiatisée)

Étape 2 : Le contrôle

La CNIL peut procéder à :

• Un contrôle en ligne (les agents testent votre site à distance : cookies, bannière, mentions)
• Un contrôle sur place (dans vos locaux, avec accès à vos systèmes)
• Un contrôle sur pièce (demande de documents : registre, procédures, contrats DPA)
• Une audition (convocation pour répondre à des questions)

Étape 3 : La mise en demeure

Si des manquements sont constatés, la CNIL peut adresser une mise en demeure de se mettre en conformité dans un délai imparti (généralement 1 à 3 mois). La mise en demeure peut être publique ou non.

Étape 4 : La sanction

En cas de manquement grave ou de non-respect de la mise en demeure, la formation restreinte de la CNIL prononce une sanction :

• Amende administrative (jusqu'à 4 % du CA ou 20 millions d'euros)
• Injonction de mise en conformité avec astreinte
• Limitation ou interdiction temporaire du traitement
• Publication de la décision (impact réputationnel majeur)

Comment se protéger : actions immédiates

Voici les actions à mettre en place sans attendre :

Cette semaine :

1. Vérifier que votre bannière cookies bloque réellement les scripts avant consentement
2. Vous assurer que votre politique de confidentialité est à jour et accessible
3. Mettre en place une adresse de contact pour les demandes de droits

Ce mois : 4. Établir ou mettre à jour votre registre des traitements 5. Vérifier les durées de conservation et purger les données obsolètes 6. Signer des contrats DPA (Data Processing Agreement) avec vos sous-traitants (hébergeur, outil email, analytics)

En continu : 7. Former les personnes qui manipulent des données personnelles 8. Mettre à jour vos documents à chaque changement 9. Réaliser un audit annuel de votre conformité 10. Suivre les publications de la CNIL (newsletter, référentiels)

Le cas des auto-entrepreneurs et freelances

Vous pensez peut-être que la CNIL ne s'intéresse qu'aux grandes entreprises. C'est faux. La procédure simplifiée permet désormais de sanctionner rapidement les petites structures :

• Les sanctions via la procédure simplifiée sont plafonnées à 20 000 euros (mais c'est déjà considérable pour un auto-entrepreneur)
• Les plaintes de clients ou de visiteurs mécontents sont le principal déclencheur
• Un concurrent peut signaler votre non-conformité à la CNIL
• Les manquements les plus fréquents chez les indépendants : absence de bannière cookies, politique de confidentialité manquante, conservation indéfinie des données clients

La bonne nouvelle : se mettre en conformité quand on est freelance ou auto-entrepreneur est relativement simple et peu coûteux. L'essentiel est de s'y mettre et de documenter ses démarches. La CNIL se montre généralement compréhensive avec les structures qui font preuve de bonne volonté et qui sont en cours de mise en conformité.