Sanctions CNIL pour les PME : les vrais chiffres
Sanctions CNIL contre les PME : montants réels, exemples nommés, procédure simplifiée, critères d'amende RGPD et préparation aux contrôles (2026).
En juin 2023, la CNIL inflige 380 000 euros d’amende à Doctissimo. En avril 2022, Dedalus Biologie prend 1,5 million d’euros pour une fuite de données médicales. En janvier 2018, Darty paie 100 000 euros pour un formulaire web non sécurisé. Ces trois entreprises ont un point commun : aucune n’est un GAFAM. Aucune ne figure au CAC 40. Ce sont des entreprises françaises de taille intermédiaire, parfois avec moins de 250 salariés.
Quand on parle de sanctions CNIL, les gros titres retiennent les 150 millions de Google et les 60 millions de Meta. Mais ces affaires masquent une réalité plus directe pour les dirigeants de PME : la CNIL sanctionne aussi les petites structures, de plus en plus souvent, et avec un outillage juridique conçu pour accélérer le traitement de ces dossiers.
Cet article analyse les sanctions CNIL qui concernent réellement les PME : les montants, les motifs, la procédure, le lien avec la sécurité email et le phishing, et les mesures concrètes pour éviter de figurer dans la prochaine liste de décisions publiée sur le site de la CNIL.
Pour un panorama complet incluant les amendes les plus lourdes (Google, Meta, Criteo, Amazon), consultez notre analyse des 20 plus grosses amendes CNIL.
Ce que disent les chiffres de la CNIL en 2023-2025
Volume de sanctions en hausse constante
La CNIL a prononcé 42 sanctions en 2023 pour un total de 89,2 millions d’euros. En 2022, c’était une trentaine de sanctions, pour un total de plus de 100 millions d’euros. La différence entre ces deux années raconte une histoire : en 2023, il y a plus de décisions mais pour un total inférieur. Ce qui signifie que la CNIL traite davantage de dossiers de taille moyenne et petite, pas moins de gros dossiers.
En 2024, la trajectoire s’est confirmée : 87 mises en demeure prononcées et une quarantaine de sanctions. La CNIL a aussi publié de nombreuses mises en demeure liées aux cookies, ciblant des sites de toutes tailles.
Les notifications de violations explosent
Le nombre de notifications de violation de données reçues par la CNIL a atteint 4 668 en 2023, en hausse de 14 % sur un an. Chacune de ces notifications peut déboucher sur un contrôle. En 2024, le chiffre a dépassé les 5 000 notifications. Parmi les entreprises qui notifient, une part significative sont des PME : cabinets comptables, cabinets médicaux, prestataires IT, e-commerçants, associations.
La procédure simplifiée change la donne pour les PME
Jusqu’en 2022, les PME passaient largement entre les mailles du filet. La CNIL manquait de ressources pour instruire des dizaines de petits dossiers en parallèle des affaires Google et Facebook. Chaque procédure de sanction ordinaire mobilise un rapporteur, un passage devant la formation restreinte, des audiences - un processus de plusieurs mois.
Depuis la loi du 24 janvier 2022, la CNIL dispose d’une procédure simplifiée avec les caractéristiques suivantes :
- Amende plafonnée à 20 000 €
- Décision prise par le président de la formation restreinte seul (pas le collège complet)
- Délai de traitement réduit à quelques semaines
- Pas d’audience publique
- S’applique aux manquements « courants » (cookies, sécurité de base, information, droits des personnes)
Plusieurs dizaines de sanctions simplifiées ont été prononcées depuis 2022. La majorité visait des structures de petite ou moyenne taille pour des manquements liés à la sécurité des données, au défaut d’information ou à la conservation excessive.
Pour les dirigeants de PME, cette procédure simplifie aussi la réalité du risque : une amende de 5 000 à 20 000 euros peut tomber en quelques semaines, sans audience, sur la base d’un contrôle en ligne. Le risque n’est plus abstrait.
Les sanctions CNIL qui parlent aux PME : cas nommés
Les 20 plus grosses amendes CNIL (détaillées dans notre article complet) concernent majoritairement des grandes entreprises. Mais dans la tranche 5 000 - 500 000 euros, les cas sont directement transposables à la réalité d’une PME française.
Dedalus Biologie — 1 500 000 € (avril 2022)
Dedalus Biologie est un éditeur de logiciels pour laboratoires d’analyses médicales. Lors d’une migration logicielle, un fichier contenant les données médicales de 491 840 patients (noms, numéros de Sécurité sociale, résultats VIH, marqueurs tumoraux, traitements) a été laissé sur un serveur FTP non sécurisé. Pas de chiffrement, pas de contrôle d’accès. Le fichier a fini sur un forum de piratage.
Articles violés : 28, 29 et 32 du RGPD (sous-traitance et sécurité).
Ce qui concerne les PME : Dedalus agissait comme sous-traitant. Si votre PME sous-traite le traitement de données à un prestataire, vous portez la responsabilité conjointe. Et si votre PME est le prestataire, l’article 28 vous impose des obligations de sécurité propres. Les fichiers temporaires, les exports de migration, les bases de test non purgées — c’est exactement ce qui fait tomber les entreprises de cette taille.
Doctissimo — 380 000 € (juin 2023)
Doctissimo, site d’information santé, transmettait les données de navigation de ses utilisateurs (y compris des recherches liées à des symptômes et maladies) à des courtiers publicitaires sans consentement valide. Les questionnaires de santé (« Êtes-vous dépressif ? ») étaient partagés avec des tiers.
Articles violés : 5, 6, 7, 13 du RGPD + article 82 de la loi Informatique et Libertés.
Ce qui concerne les PME : si votre site collecte des données pouvant révéler l’état de santé des visiteurs (pharmacies en ligne, cabinets médicaux, mutuelles, sites de bien-être), le partage avec des outils analytics ou publicitaires sans consentement explicite est sanctionné. Et la CNIL considère que les données déclaratives (réponses à un quiz) sont des données de santé.
Optical Center — 250 000 € (décembre 2018)
En modifiant l’identifiant dans l’URL du site Optical Center (facture_id=1234 → facture_id=1235), n’importe qui pouvait accéder aux factures d’autres clients : noms, adresses, prescriptions ophtalmologiques, remboursements. Cette vulnérabilité IDOR (Insecure Direct Object Reference) figure dans le Top 10 OWASP depuis sa création.
Ce qui concerne les PME : si votre site ou application web permet aux utilisateurs d’accéder à des documents via un identifiant dans l’URL (factures, devis, dossiers clients), chaque accès doit vérifier que l’utilisateur a le droit de consulter cette ressource. C’est du développement de base, mais c’est exactement ce type de faille que la CNIL détecte.
Darty — 100 000 € (janvier 2018)
Un formulaire de contact SAV sur le site Darty était accessible sans restriction : en modifiant l’URL, on pouvait lire les demandes d’autres clients, avec parfois des coordonnées bancaires ou des photocopies de pièces d’identité jointes. Le formulaire avait été développé par un prestataire externe. La CNIL a répondu que la responsabilité du responsable de traitement ne se délègue pas.
Ce qui concerne les PME : vous faites développer un site par une agence ou un freelance ? Avant la mise en production, testez les formulaires et les accès. Si votre prestataire livre un formulaire non sécurisé, c’est vous qui paierez l’amende. Pas lui.
Infogreffe — 250 000 € (septembre 2022)
Infogreffe stockait les mots de passe utilisateurs en MD5 (algorithme de hachage obsolète depuis les années 2000). Plus de 946 000 comptes inactifs depuis plus de 36 mois étaient toujours en base. Et les mots de passe étaient transmis en clair par email lors de la création de compte.
Ce qui concerne les PME : MD5 et SHA1 pour le hachage de mots de passe, c’est non. Si votre application envoie le mot de passe en clair par email à l’inscription, c’est un signal d’alarme que la CNIL détecte à chaque contrôle. La recommandation CNIL 2024 exige bcrypt (coût ≥ 12) ou Argon2id, et des mots de passe d’au moins 12 caractères.
Les sanctions simplifiées : 5 000 à 20 000 €
Depuis 2022, les sanctions simplifiées touchent des structures que la presse ne nomme pas toujours, mais que les registres de la CNIL documentent :
- Médecins libéraux sanctionnés pour absence de mot de passe sur les postes accédant aux dossiers patients
- Associations sanctionnées pour défaut d’information sur les formulaires d’adhésion
- E-commerçants sanctionnés pour cookies déposés avant consentement
- TPE sanctionnées pour conservation excessive de données clients
- Cabinets comptables sanctionnés pour accès non restreint aux dossiers clients
Le montant typique : 5 000 à 15 000 euros, prononcé en quelques semaines. Pas de quoi mettre une entreprise en faillite, mais suffisant pour signaler que la CNIL surveille l’ensemble du tissu économique.
Comment la CNIL calcule le montant d’une amende
La CNIL ne pioche pas un chiffre arbitraire. L’article 83 du RGPD définit les critères.
Les facteurs aggravants
| Critère | Exemple concret |
|---|---|
| Nombre de personnes affectées | 491 840 patients pour Dedalus, 28 millions de clients pour Carrefour |
| Sensibilité des données | Données de santé (Dedalus, Doctissimo), biométrie (Clearview AI) |
| Caractère délibéré | Clearview AI aspirait des photos en pleine connaissance du RGPD |
| Antécédents | Uber sanctionné en 2018 puis en 2024 — récidive = montant aggravé |
| Défaut de coopération | Refus de répondre aux demandes de la CNIL, dissimulation |
| Durée de la violation | Manquement persistant après mise en demeure |
Les facteurs atténuants
| Critère | Impact sur la sanction |
|---|---|
| Correction rapide du manquement | Réduction significative du montant |
| Notification spontanée de l’incident | Preuve de bonne foi |
| Coopération pleine avec la CNIL | Explicitement mentionné dans l’article 83 |
| Mesures de sécurité substantielles en place | L’entreprise a fait des efforts, même insuffisants |
| Formation documentée des employés | Preuve de diligence organisationnelle |
Le calcul en pratique pour une PME
Le plafond légal est de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Pour une PME avec 5 millions d’euros de CA, 4 % représente 200 000 euros. En pratique, les sanctions se situent bien en dessous de ce plafond.
La grille informelle observée dans les décisions :
- Manquement mineur (cookies, information) sans donnée sensible : 5 000 à 20 000 € (procédure simplifiée)
- Manquement significatif (sécurité insuffisante, conservation excessive) : 20 000 à 100 000 €
- Fuite de données avec données sensibles et/ou grand nombre de personnes : 100 000 à 500 000 €
- Manquement grave avec récidive ou caractère délibéré : au-delà de 500 000 €
La proportionnalité au chiffre d’affaires est réelle. C’est pourquoi TikTok a pris 5 millions quand Google a pris 150 millions pour le même type de manquement : le CA de TikTok France était nettement inférieur à celui de Google France.
La procédure de sanction CNIL étape par étape
Comprendre la mécanique permet de réagir au bon moment.
Étape 1 : Le contrôle
La CNIL peut contrôler de quatre manières :
-
Contrôle en ligne — Un agent visite votre site web, analyse les requêtes réseau, vérifie les cookies, teste les formulaires. Vous n’êtes pas prévenu. C’est le mode le plus fréquent pour les PME.
-
Contrôle sur pièces — La CNIL vous envoie un courrier demandant des documents : registre des traitements, politique de confidentialité, contrats de sous-traitance, preuves de consentement. Délai de réponse : généralement 1 mois.
-
Contrôle sur place — Des agents se déplacent dans vos locaux. Ils peuvent accéder aux postes informatiques, aux serveurs, aux programmes, aux fichiers. Vous êtes prévenu, sauf en cas de risque de destruction de preuves.
-
Audition — Le responsable de traitement est convoqué dans les locaux de la CNIL pour répondre à des questions.
Les contrôles en ligne ont explosé depuis 2021. La CNIL a industrialisé le processus : ses agents utilisent des outils automatisés pour scanner les sites web et détecter les cookies déposés avant consentement. Un site de PME est aussi facile à scanner que celui d’un grand groupe.
Étape 2 : La mise en demeure
Si le contrôle révèle des manquements, la CNIL peut d’abord envoyer une mise en demeure. C’est un avertissement formel qui fixe un délai (1 à 6 mois selon la complexité) pour corriger les manquements.
La mise en demeure n’est pas une sanction. Elle n’implique pas d’amende. Mais elle est le signal d’alarme maximal : si les corrections ne sont pas apportées dans le délai, la procédure de sanction s’enclenche avec des montants plus élevés.
En 2024, la CNIL a envoyé 87 mises en demeure. Une part croissante concerne des PME, notamment sur les cookies et la sécurité des sites web.
Action si vous recevez une mise en demeure : engagez un avocat spécialisé RGPD, corrigez les manquements, documentez chaque action corrective, envoyez un rapport de conformité avant l’expiration du délai. Si vous rédigez une politique de sécurité formalisée, incluez-la dans votre dossier de réponse.
Étape 3 : La sanction (procédure ordinaire)
Si la mise en demeure est ignorée ou insuffisante, ou si le manquement est suffisamment grave pour justifier une sanction directe :
- Un rapporteur est désigné. Il instruit le dossier et propose une sanction.
- L’entreprise peut présenter ses observations écrites et demander une audience devant la formation restreinte.
- La formation restreinte (composée de 5 membres du collège de la CNIL) délibère et prononce la sanction.
- La décision est notifiée et publiée sur le site de la CNIL, avec le nom de l’entreprise.
Durée totale : 6 à 18 mois.
Étape 3 bis : La sanction (procédure simplifiée)
Pour les manquements courants et les amendes jusqu’à 20 000 euros :
- Le président de la formation restreinte décide seul.
- Pas d’audience.
- Décision en quelques semaines.
- Publicité de la décision : au choix du président (souvent anonymisée pour les petites structures, mais pas toujours).
La procédure simplifiée est l’arme de la CNIL pour traiter les dossiers PME en volume. C’est elle qui explique l’augmentation du nombre total de sanctions depuis 2023.
Étape 4 : Le recours
Toute sanction peut être contestée devant le Conseil d’État dans un délai de deux mois. Le taux de succès des recours est faible : le Conseil d’État confirme la grande majorité des décisions. Pour une PME, les frais d’avocat pour un recours devant le Conseil d’État (10 000 à 30 000 euros) dépassent souvent le montant de l’amende elle-même.
Le lien entre phishing, violation de données et sanction CNIL
La CNIL ne sanctionne pas le phishing en tant que tel. Elle sanctionne les conséquences du phishing : la fuite de données qui en résulte et l’insuffisance des mesures de sécurité qui l’ont permise.
La chaîne causale
Voici comment une attaque de phishing se transforme en sanction CNIL :
1. Un employé clique sur un email de phishing. Il transmet ses identifiants ou installe un logiciel malveillant. Le phishing reste le premier vecteur d’accès initial, impliqué dans 74 % des brèches selon le Verizon DBIR 2025.
2. L’attaquant accède aux données. Base clients, données RH, dossiers médicaux, informations financières. Les données sont exfiltrées ou chiffrées (rançongiciel).
3. L’entreprise notifie la CNIL sous 72 heures (article 33 du RGPD). Si elle ne le fait pas, c’est un manquement supplémentaire.
4. La CNIL ouvre un contrôle. Elle vérifie si les mesures de sécurité étaient proportionnées au risque (article 32 du RGPD). Questions typiques :
- Les employés étaient-ils formés à reconnaître le phishing ?
- L’authentification multifacteur (MFA) était-elle activée ?
- Les accès aux données sensibles étaient-ils restreints ?
- Les données étaient-elles chiffrées ?
- Un plan de réponse à incident existait-il ?
5. Si les mesures étaient insuffisantes, la CNIL sanctionne. L’amende s’ajoute aux conséquences de la fuite elle-même : coûts de forensics, notification des personnes, perte de clients, atteinte à la réputation.
Ce que la CNIL vérifie après une fuite liée au phishing
Lors des contrôles post-incident, les agents de la CNIL examinent un ensemble de mesures techniques et organisationnelles. Sur le volet technique : MFA sur les comptes à privilèges, politique de mots de passe conforme aux recommandations CNIL 2024, chiffrement des données sensibles au repos et en transit, segmentation réseau, sauvegardes externalisées et testées. Sur le volet organisationnel : politique de sécurité écrite (PSSI), formation documentée des employés au phishing, procédure de réponse à incident testée, registre des traitements à jour, contrats de sous-traitance signés.
L’absence de formation au phishing est un facteur aggravant récurrent. Inversement, une entreprise qui peut prouver qu’elle mène des campagnes de simulation de phishing régulières, avec des taux de clic en baisse, démontre une diligence que la CNIL prend en compte.
Le cercle vicieux pour les PME non préparées
La majorité des PME françaises ne sont pas prêtes. Le baromètre Cybermalveillance.gouv.fr 2025 révèle que 65 % des TPE-PME n’ont aucune procédure de réaction en cas d’incident, et que les trois quarts consacrent moins de 2 000 euros par an à leur cybersécurité.
Quand une de ces PME subit une attaque par phishing :
- Elle n’a pas de fiche réflexe pour les premières heures → la fuite s’aggrave
- Elle n’a pas de procédure de notification → elle dépasse le délai de 72 heures → manquement supplémentaire
- Elle n’a pas de preuve de formation → la CNIL constate l’absence de mesures organisationnelles → facteur aggravant
- Elle n’a pas de contrat de sous-traitance avec son hébergeur → violation de l’article 28 → manquement supplémentaire
Un incident qui aurait valu un rappel à l’ordre pour une entreprise bien préparée devient une sanction pour une PME qui n’a rien mis en place.
Pour comprendre l’ampleur des fuites de données en France, consultez notre recueil des 50 plus grandes fuites de données françaises.
Les secteurs les plus exposés aux sanctions CNIL
La CNIL ne publie pas de statistiques sectorielles détaillées, mais l’analyse des décisions et des mises en demeure fait apparaître des secteurs récurrents.
Santé et médical
Les données de santé bénéficient d’une protection renforcée sous l’article 9 du RGPD. Les sanctions dans ce secteur sont systématiquement plus lourdes. Dedalus (1,5 M€), Doctissimo (380 K€), et de nombreuses sanctions simplifiées contre des professionnels de santé (médecins libéraux, cliniques, pharmacies) témoignent de la vigilance de la CNIL sur ce périmètre.
Risque spécifique pour les PME : les cabinets médicaux, les laboratoires, les prestataires IT du secteur santé (hébergeurs HDS, éditeurs de logiciels médicaux). La moindre faille de sécurité sur des données de santé déclenche une réaction CNIL disproportionnée par rapport au même manquement sur des données commerciales classiques.
E-commerce et retail
Les cookies, les bases clients surdimensionnées, les formulaires de commande, les programmes de fidélité. Carrefour France (2,25 M€) et Carrefour Banque (800 K€), soit plus de 3 M€ au total, Darty (100 K€), Optical Center (250 K€) — le secteur du commerce concentre une part significative des sanctions.
Risque spécifique pour les PME : un e-commerçant de 30 salariés avec un site Shopify ou PrestaShop mal configuré (Google Analytics chargé avant consentement, base clients jamais purgée, mots de passe clients hachés en MD5) présente exactement le même profil de risque que Darty ou Optical Center, à une échelle différente.
Services numériques et SaaS
Les éditeurs de logiciels qui traitent des données pour le compte de clients (B2B SaaS) cumulent les obligations de responsable de traitement (pour leurs propres données) et de sous-traitant (pour les données de leurs clients). Infogreffe (250 K€), Discord (800 K€), Dedalus (1,5 M€) illustrent les risques.
Immobilier et gestion locative
Secteur moins médiatisé mais régulièrement ciblé par les mises en demeure. Les agences immobilières, les syndics et les gestionnaires de copropriété traitent des données financières (revenus, avis d’imposition) et des copies de pièces d’identité dans le cadre des dossiers de location. La conservation excessive de ces dossiers après la fin du bail est un manquement fréquent.
Préparer son entreprise à un contrôle CNIL : le plan en 8 étapes
1. Vérifier ses cookies — cette semaine
Ouvrez votre site en navigation privée. Avant de cliquer sur quoi que ce soit dans le bandeau cookies, ouvrez les outils de développement (F12 → onglet Réseau). Si des requêtes partent vers Google Analytics, Meta Pixel, ou des régies publicitaires avant votre clic sur « Accepter », vous êtes en infraction.
Correction : configurez votre CMP (Axeptio, Tarteaucitron, Didomi) pour bloquer tous les scripts tiers (analytics, publicité) jusqu’au consentement. Assurez-vous que le bouton « Tout refuser » est aussi visible que « Tout accepter ».
Si vous n’êtes pas sûr de l’état de votre configuration email, commencez par un diagnostic gratuit de sécurité email. SPF, DKIM et DMARC mal configurés, c’est un signal que la sécurité informatique de l’entreprise mérite un audit plus large.
2. Tenir un registre des traitements — ce mois
Le registre est obligatoire pour toute entreprise dont les traitements sont susceptibles de comporter un risque pour les droits des personnes (ce qui inclut pratiquement toutes les entreprises). La CNIL fournit un modèle téléchargeable gratuitement.
Pour chaque traitement, documentez :
- La finalité
- Les catégories de données collectées
- Les destinataires
- Les durées de conservation
- Les mesures de sécurité
Un registre à jour, même imparfait, vaut bien mieux que pas de registre du tout lors d’un contrôle.
3. Purger les données périmées — ce trimestre
Les durées de référence CNIL :
| Catégorie | Durée de conservation |
|---|---|
| Prospects non convertis | 3 ans après le dernier contact |
| Clients inactifs | 3 ans après la fin de la relation |
| Salariés ayant quitté l’entreprise | 5 ans après le départ |
| Logs d’accès | 6 mois à 1 an |
| Vidéosurveillance | 30 jours maximum |
| Cookies | 13 mois maximum |
Mettez en place un script ou une tâche automatique de purge. Ne comptez pas sur un processus manuel — il sera oublié au bout de deux mois.
4. Sécuriser les mots de passe et les accès
La checklist minimale exigée par la CNIL en 2026 :
- Hachage : bcrypt (coût ≥ 12) ou Argon2id — jamais MD5, SHA1 ou SHA256 sans sel
- Longueur minimale : 12 caractères (recommandation CNIL 2024)
- MFA : activée sur les comptes administrateurs et les accès aux données sensibles
- Pas d’envoi de mot de passe en clair par email — uniquement des liens de réinitialisation avec expiration
- Contrôle d’accès : chaque utilisateur ne voit que les données dont il a besoin (principe du moindre privilège)
5. Auditer vos contrats de sous-traitance
Chaque prestataire qui accède à vos données personnelles doit avoir un contrat conforme à l’article 28.3 du RGPD. Ce contrat doit préciser : l’objet et la durée du traitement, les catégories de données, les mesures de sécurité, les obligations en cas de violation (notification sous 48 heures) et le sort des données à la fin du contrat.
Priorité : votre hébergeur, votre prestataire informatique, votre solution de comptabilité cloud, votre outil CRM, votre plateforme email marketing. Si l’un de ces prestataires n’a pas signé de contrat de sous-traitance, régularisez la situation.
6. Former vos employés au phishing
La formation au phishing est à la fois une mesure de prévention (réduire le risque de fuite) et une preuve de diligence (satisfaire l’article 32 du RGPD). Les deux aspects comptent lors d’un contrôle CNIL.
Ce que la CNIL attend :
- Des preuves que la formation a eu lieu (attestations, rapports de campagnes de simulation)
- Une fréquence régulière (pas une session unique en 2019 puis plus rien)
- Un contenu adapté aux risques de l’entreprise
Une simulation de phishing trimestrielle avec suivi des taux de clic est une mesure concrète, mesurable, et que la CNIL reconnaît. C’est aussi ce que les assureurs cyber exigent de plus en plus avant de couvrir un sinistre.
7. Rédiger une procédure de réponse à incident
Si une fuite survient, vous avez 72 heures pour notifier la CNIL. Sans procédure documentée, ces 72 heures passent très vite. La procédure doit définir : qui est le point de contact CNIL, comment évaluer la gravité de l’incident, quelles données ont été compromises, et comment notifier les personnes concernées.
Préparez aussi une fiche réflexe affichée dans les locaux ou accessible sur l’intranet, avec les numéros à appeler et les premières actions à mener.
8. Documenter la conformité RGPD globale
Lors d’un contrôle, la CNIL ne regarde pas un seul aspect. Elle regarde tout : cookies, registre, sécurité, sous-traitance, droits des personnes, conservation. Le cas Carrefour (Carrefour France (2,25 M€) et Carrefour Banque (800 K€), soit plus de 3 M€ au total pour 6 violations cumulées) le montre : l’accumulation de manquements mineurs produit une sanction majeure.
Rassemblez dans un dossier unique : votre registre des traitements, vos contrats de sous-traitance, votre politique de confidentialité, vos procédures de gestion des droits, vos rapports de formation au phishing, votre politique de sécurité. Ce dossier est votre meilleur atout en cas de contrôle.
Pour structurer votre conformité globale, notre page conformité RGPD détaille les obligations spécifiques et les mesures attendues.
Les amendes CNIL ne sont pas assurables
Un point que beaucoup de dirigeants ignorent : les amendes CNIL ne sont pas couvertes par l’assurance en droit français. Les sanctions administratives sont des quasi-sanctions pénales. Les assurer reviendrait à permettre au contrevenant de s’exonérer de sa responsabilité, ce qui est contraire à l’ordre public.
Votre assurance responsabilité civile professionnelle ne couvrira pas les 50 000 euros d’amende. Votre assurance cyber non plus. En revanche, l’assurance cyber peut couvrir les frais connexes : forensics, notification des personnes, frais d’avocat, gestion de crise, interruption d’activité.
La prévention reste la seule stratégie qui réduit le risque d’amende. Et les assureurs eux-mêmes l’ont compris : une part croissante des contrats cyber exigent des preuves de mesures de prévention (MFA, formation au phishing, politique de sécurité) avant d’accorder la couverture.
L’effet domino : amende + publicité + perte de confiance
Depuis 2022, toutes les sanctions CNIL sont publiées sur le site de la CNIL, avec le nom de l’entreprise sanctionnée. Ces décisions apparaissent dans les résultats Google. Pour une PME, l’impact réputationnel peut dépasser le montant de l’amende.
Scénario concret : votre PME reçoit une amende de 15 000 euros via la procédure simplifiée pour des cookies non conformes. La décision est publiée. Un prospect tape le nom de votre entreprise dans Google et tombe sur « sanctionné par la CNIL ». Il choisit un concurrent. Un appel d’offres inclut une clause de conformité RGPD — vous êtes disqualifié. Un partenaire commercial vous demande des comptes.
Le coût de l’amende : 15 000 euros. Le coût total de l’incident (perte de clients, frais de mise en conformité, temps de direction) : 50 000 à 100 000 euros.
Pour une analyse détaillée de ces cascades de coûts, consultez notre article sur le coût réel d’une cyberattaque pour une PME de 50 personnes.
Les thématiques de contrôle CNIL pour 2025-2026
La CNIL publie ses priorités annuelles. Pour 2025-2026, quatre axes se détachent.
Cybersécurité et violations de données
Avec plus de 5 000 notifications de violation en 2024, la CNIL renforce ses contrôles sur la sécurité. L’article 32 du RGPD (sécurité du traitement) devient le terrain de sanction en expansion. Les entreprises ayant notifié une violation sont contrôlées systématiquement.
Intelligence artificielle
La CNIL a créé un service IA en 2024. Les entreprises qui déploient des chatbots, des outils de scoring automatisé ou de l’analyse de CV par IA sont dans le viseur. Les PME qui utilisent ChatGPT ou des outils similaires pour traiter des données clients sans encadrement sont concernées.
Données des mineurs
Les applications éducatives, les jeux en ligne, les plateformes destinées aux jeunes. Si votre PME opère dans l’EdTech ou le divertissement numérique pour mineurs, attendez-vous à des contrôles renforcés.
Cookies et traceurs (toujours)
Les contrôles en ligne sur les cookies n’ont pas ralenti. La CNIL continue de scanner des centaines de sites par mois. Les sites de PME sont aussi faciles à scanner que ceux des grands groupes.
Ce que les PME doivent retenir
Les chiffres racontent une histoire claire.
Le volume de sanctions augmente. Une trentaine en 2022, 42 en 2023, une quarantaine en 2024. La procédure simplifiée permet à la CNIL de traiter plus de dossiers, et les PME entrent dans le radar.
Les montants pour les PME restent contenus mais réels. Entre 5 000 et 150 000 euros dans la plupart des cas. Assez pour impacter la trésorerie, pas assez pour faire la une. Mais l’effet réputationnel de la publication multiplie le coût réel par 3 à 5.
Le phishing est le déclencheur le plus fréquent. Une fuite de données causée par un email de phishing déclenche notification → contrôle → sanction si les mesures de sécurité étaient insuffisantes. Former les employés au phishing agit sur les deux volets : réduction du risque de fuite et preuve de diligence.
La préparation coûte moins cher que la sanction. Un registre des traitements (gratuit), un CMP pour les cookies (quelques centaines d’euros par an), un contrat de sous-traitance (quelques heures d’avocat), et une plateforme de simulation de phishing — le tout coûte entre 3 000 et 8 000 euros par an pour une PME de 50 salariés. La première amende simplifiée coûte 5 000 à 20 000 euros. Le calcul est simple.
Commencez par un test gratuit de sécurité email pour évaluer votre niveau de protection actuel. C’est un premier diagnostic en 30 secondes, et c’est souvent le signal qui déclenche un audit plus large de la conformité RGPD.
FAQ
Quel est le montant moyen d’une sanction CNIL pour une PME ?
Le montant moyen des sanctions CNIL prononcées contre des PME se situe entre 5 000 et 150 000 euros. Via la procédure simplifiée (introduite en 2022), les amendes sont plafonnées à 20 000 euros. Pour les manquements graves impliquant des données sensibles ou un grand nombre de personnes, les montants peuvent atteindre plusieurs centaines de milliers d’euros, comme les 380 000 euros infligés à Doctissimo ou les 250 000 euros à Optical Center.
Comment se déroule un contrôle CNIL pour une PME ?
Un contrôle CNIL peut prendre quatre formes : le contrôle en ligne (la CNIL visite votre site et analyse les cookies sans vous prévenir), le contrôle sur pièces (demande de documents par courrier), le contrôle sur place (visite dans vos locaux après notification) et l’audition (convocation du responsable de traitement). Le contrôle en ligne est le plus fréquent pour les PME. Lors d’un contrôle sur place, les agents CNIL peuvent accéder aux locaux, aux matériels et aux programmes informatiques.
La CNIL contrôle-t-elle vraiment les petites entreprises ?
Oui. Depuis 2022, la procédure simplifiée permet à la CNIL de traiter rapidement les dossiers de petites structures. Plusieurs dizaines de sanctions simplifiées ont été prononcées depuis 2022, majoritairement contre des PME et des TPE. La CNIL a prononcé 87 mises en demeure en 2024, et une part croissante vise des structures de moins de 250 salariés.
Quel est le lien entre phishing et sanctions CNIL ?
Le phishing est le premier vecteur de violation de données en France. Quand un employé clique sur un email de phishing et qu’une fuite de données s’ensuit, l’entreprise doit notifier la CNIL sous 72 heures. La CNIL vérifie alors si les mesures de sécurité étaient proportionnées au risque (article 32 du RGPD). L’absence de formation des employés au phishing est un facteur aggravant. Inversement, une entreprise qui documente ses campagnes de simulation de phishing démontre sa diligence.
Peut-on recevoir une sanction CNIL sans avoir subi de fuite de données ?
Oui. La majorité des sanctions CNIL ne sont pas liées à des fuites. Les cookies non conformes, la conservation excessive de données, le défaut d’information des utilisateurs, l’absence de registre des traitements ou le non-respect des droits d’accès et d’effacement sont autant de motifs de sanction indépendants de tout incident de sécurité. Un simple contrôle en ligne de votre site web peut déclencher une procédure.
Comment préparer son entreprise à un contrôle CNIL ?
Quatre actions prioritaires : tenir un registre des traitements à jour (article 30 du RGPD), vérifier la conformité de vos cookies (pas de dépôt avant consentement, bouton « Tout refuser » visible), auditer la sécurité de vos systèmes (mots de passe, contrôle d’accès, chiffrement), et documenter vos contrats de sous-traitance (article 28). En cas de contrôle sur place, désignez un interlocuteur, rassemblez ces documents et coopérez pleinement — la coopération est un facteur atténuant dans le calcul de l’amende.