CNIL : les 20 plus grosses amendes RGPD en France (et ce qu'elles nous apprennent)

Le 4 janvier 2022, la CNIL publie trois décisions simultanées : 150 millions d'euros contre Google, 60 millions contre Facebook, 60 millions contre Microsoft. Un total de 270 millions d'euros en une seule journée. Le sujet ? Des boutons de cookies. Pas une fuite de données spectaculaire, pas un piratage international - des boutons mal configurés sur des sites web.

Ce moment marque un tournant. Depuis l'entrée en vigueur du RGPD en mai 2018, la CNIL a distribué plus de 500 millions d'euros d'amendes. Et contrairement à ce que beaucoup de dirigeants pensent, les sanctions ne concernent pas que les GAFAM. Dedalus Biologie, un labo de sous-traitance médical, a pris 1,5 million d'euros pour une fuite de données de santé. Doctissimo, un site d'information santé, 380 000 euros. Darty, 100 000 euros pour un formulaire web mal sécurisé. Le spectre va du géant californien à l'entreprise française de 200 salariés.

Cet article passe en revue les 20 amendes CNIL les plus lourdes prononcées en France, explique les articles du RGPD qui ont été violés dans chaque affaire, et surtout identifie les motifs récurrents. Parce que si vous dirigez une PME française, ces 20 cas racontent une histoire très claire sur ce que la CNIL traque - et ce que vous devez corriger en priorité.

Tableau récapitulatif des 20 plus grosses amendes CNIL

Avant d'entrer dans le détail, voici le panorama complet. Chaque affaire sera analysée individuellement dans la suite de l'article.

#	Entreprise	Montant	Date	Motif principal	Articles violés
1	Google Ireland	150 000 000 €	Janv. 2022	Cookies : refus pas aussi simple que l'acceptation	Art. 82 Loi IL
2	Microsoft Ireland	60 000 000 €	Janv. 2022	Cookies : dépôt sans consentement valide	Art. 82 Loi IL
3	Facebook Ireland (Meta)	60 000 000 €	Janv. 2022	Cookies : refus pas aussi simple que l'acceptation	Art. 82 Loi IL
4	Criteo	40 000 000 €	Juin 2023	Ciblage publicitaire sans consentement valide	Art. 7, 13, 15, 17, 26 RGPD
5	Amazon France Logistique	35 000 000 €	Janv. 2024	Vidéosurveillance et cookies	Art. 5, 6, 13 RGPD + Art. 82 Loi IL
6	Clearview AI	20 000 000 €	Oct. 2022	Collecte biométrique sans base légale	Art. 6, 9, 12, 13, 15, 17 RGPD
7	Uber B.V. et Uber France	10 000 000 €	Déc. 2024	Sécurité insuffisante des données chauffeurs	Art. 32 RGPD
8	TikTok	5 000 000 €	Déc. 2022	Cookies : information insuffisante, refus complexe	Art. 82 Loi IL
9	Voodoo	3 000 000 €	Janv. 2024	Tracking publicitaire mobile sans consentement	Art. 82 Loi IL + Art. 5, 13 RGPD
10	Carrefour France + Carrefour Banque	3 000 000 €	Nov. 2020	Information, conservation, cookies, droits	Art. 5, 6, 13, 17, 21, 32 RGPD
11	RATP	2 000 000 €	Oct. 2024	Fichiers d'évaluation syndicale illicites	Art. 5, 9, 32 RGPD
12	Dedalus Biologie	1 500 000 €	Avril 2022	Fuite de données médicales de 500 000 patients	Art. 28, 29, 32 RGPD
13	Discord Inc.	800 000 €	Nov. 2022	Conservation excessive, sécurité, information	Art. 5, 13, 32 RGPD
14	Accor	600 000 €	Août 2022	Prospection commerciale sans consentement	Art. 82 Loi IL + Art. 12, 21 RGPD
15	Doctissimo	380 000 €	Mai 2023	Consentement cookies, partage avec courtiers	Art. 5, 6, 7, 13 RGPD + Art. 82 Loi IL
16	Sephora	250 000 €	Janv. 2023	Cookies déposés avant consentement	Art. 82 Loi IL
17	Optical Center	250 000 €	Juin 2018	Accès aux factures clients sans authentification	Art. 32 RGPD (équivalent pré-RGPD)
18	TOTAL Énergies (ex-Direct Énergie)	200 000 €	Nov. 2022	Prospection téléphonique et données Linky	Art. 5, 21 RGPD + Art. 82 Loi IL
19	Infogreffe	250 000 €	Sept. 2022	Conservation excessive et mots de passe faibles	Art. 5, 32 RGPD
20	Darty	100 000 €	Janv. 2018	Formulaire contact accessible sans restriction	Art. 34 Loi IL (pré-RGPD)

Total cumulé de ces 20 sanctions : 391 330 000 €.

Trois observations sautent aux yeux avant même d'analyser les dossiers individuellement : les cookies et le consentement représentent 8 des 20 plus grosses amendes ; les sanctions les plus lourdes ne punissent pas des fuites de données mais des défauts de consentement ; et la CNIL n'hésite pas à frapper des entreprises françaises (Criteo, Carrefour, Dedalus, RATP, Accor, Doctissimo, Voodoo).

Les trois amendes record du 4 janvier 2022 : le tournant des cookies

1. Google Ireland - 150 millions d'euros

Date de la décision : 31 décembre 2021 (publiée le 6 janvier 2022) Montant : 150 000 000 € Articles violés : Article 82 de la loi Informatique et Libertés (transposition de l'article 5.3 de la directive ePrivacy)

Quand un utilisateur arrivait sur google.fr, youtube.com ou d'autres services Google, un bandeau cookies proposait un bouton « Tout accepter » bien visible. Mais pour refuser les cookies non essentiels, il fallait naviguer dans un sous-menu, comprendre les options et cliquer plusieurs fois. Cette asymétrie entre accepter (un clic) et refuser (plusieurs clics) constituait selon la CNIL une pression illégitime sur le consentement.

La CNIL a également constaté que des cookies publicitaires étaient déposés avant toute action de l'utilisateur sur certains services Google, ce qui revenait à un dépôt sans consentement préalable.

Ce que Google a fait après : Google a déployé un nouveau bandeau avec un bouton « Tout refuser » aussi visible que « Tout accepter » dans les semaines suivant la décision. La CNIL a confirmé la mise en conformité en avril 2022.

Ce qu'il faut retenir : un bouton « Tout refuser » doit être aussi accessible et visible que le bouton « Tout accepter ». Point final. Pas de dark pattern, pas de menu déroulant supplémentaire, pas de couleur grisée pour décourager le refus.

2. Microsoft Ireland - 60 millions d'euros

Date de la décision : 19 décembre 2022 Montant : 60 000 000 € Articles violés : Article 82 de la loi Informatique et Libertés

Le cas Microsoft est presque un copier-coller de celui de Google, mais avec une particularité. Quand un utilisateur arrivait sur bing.com, Microsoft déposait des cookies publicitaires sans aucun mécanisme de recueil du consentement. Pas de bandeau, pas de pop-up, pas de choix. Les cookies étaient simplement posés dès le chargement de la page.

La CNIL a relevé que même quand un bandeau existait (sur d'autres services Microsoft), l'option de refus nécessitait davantage de manipulations que l'acceptation.

Astreinte : 60 000 € par jour de retard si la mise en conformité n'intervenait pas dans les trois mois.

Ce qu'il faut retenir : un site web qui dépose des cookies publicitaires ou analytiques avant le consentement de l'utilisateur viole la loi, sans discussion possible. C'est la règle la plus binaire du RGPD appliquée en France.

3. Facebook Ireland (Meta) - 60 millions d'euros

Date de la décision : 31 décembre 2021 (publiée le 6 janvier 2022) Montant : 60 000 000 € Articles violés : Article 82 de la loi Informatique et Libertés

Même logique que Google : sur facebook.com, un bouton « Accepter les cookies » était immédiatement visible. Pour refuser, l'utilisateur devait cliquer sur « Accepter uniquement les cookies nécessaires » qui renvoyait vers une page de paramétrage. La CNIL a jugé que cette architecture rendait le refus plus complexe que l'acceptation et que ce différentiel n'était pas justifié.

Ce qu'il faut retenir : la CNIL juge le parcours de l'utilisateur, pas seulement la présence d'un choix. Si accepter prend un clic et refuser en prend trois, c'est un dark pattern. Et ça coûte 60 millions.

La bataille du ciblage publicitaire

4. Criteo - 40 millions d'euros

Date de la décision : 15 juin 2023 Montant : 40 000 000 € Articles violés : Articles 7, 13, 15, 17, 26 du RGPD

Cette sanction est particulièrement instructive parce que Criteo est une entreprise française, cotée au Nasdaq, spécialisée dans le reciblage publicitaire. Son métier consiste à suivre les internautes de site en site pour leur afficher des publicités personnalisées. La CNIL a relevé cinq manquements distincts :

1. Absence de preuve de consentement (art. 7) - Criteo collectait des données de navigation via ses partenaires (sites web), mais ne vérifiait pas que ces partenaires avaient bien recueilli un consentement valide. En pratique, Criteo traitait les données de millions d'internautes qui n'avaient jamais consenti au suivi publicitaire.

2. Défaut d'information (art. 13) - Les personnes dont Criteo traitait les données n'étaient pas informées de manière claire et accessible des traitements effectués. La politique de confidentialité était jugée insuffisante.

3. Défaut d'exercice du droit d'accès (art. 15) - Les personnes qui demandaient à Criteo quelles données étaient détenues sur elles ne recevaient pas de réponse complète.

4. Défaut de respect du droit d'effacement (art. 17) - Les demandes de suppression n'étaient pas correctement exécutées.

5. Absence d'accord de responsabilité conjointe (art. 26) - Criteo et ses partenaires traitaient conjointement les données sans avoir formalisé leur rôle respectif.

Ce qu'il faut retenir : si votre modèle économique repose sur des données personnelles obtenues via des tiers, vous devez pouvoir prouver que le consentement a été obtenu en amont. « Mon partenaire m'a dit qu'il avait le consentement » ne suffit pas. Vous devez le vérifier, le documenter et le tracer. C'est le cas Criteo qui a posé ce principe avec 40 millions d'euros à la clé.

5. Amazon France Logistique - 35 millions d'euros

Date de la décision : 23 janvier 2024 Montant : 35 000 000 € Articles violés : Articles 5, 6, 13 du RGPD + Article 82 de la loi Informatique et Libertés

Cette sanction couvre deux sujets distincts. D'abord, la CNIL a constaté que le site amazon.fr déposait des cookies publicitaires sans consentement préalable de l'utilisateur - le même grief que pour Google, Microsoft et Facebook deux ans plus tôt. Ensuite, et c'est plus original, la CNIL a sanctionné le système de vidéosurveillance des entrepôts Amazon en France.

Sur la vidéosurveillance, les constats étaient sérieux :

• Les scanners utilisés par les salariés dans les entrepôts enregistraient l'activité en temps réel, permettant de mesurer les temps d'inactivité, les pauses et la productivité de chaque employé.
• Ce système de surveillance continue des salariés était jugé disproportionné (violation de l'article 5 RGPD - principe de minimisation).
• Les salariés n'étaient pas suffisamment informés de l'étendue de cette surveillance (violation de l'article 13 RGPD).

Ce qu'il faut retenir : la CNIL ne se limite pas aux cookies. La surveillance des salariés est un terrain de sanctions en expansion. Toute entreprise qui utilise des outils de suivi de la productivité (logiciels de surveillance, badgeuses, contrôle des temps) doit s'assurer de la proportionnalité du dispositif et de l'information des salariés.

6. Clearview AI - 20 millions d'euros

Date de la décision : 20 octobre 2022 Montant : 20 000 000 € Articles violés : Articles 6, 9, 12, 13, 15, 17 du RGPD

Clearview AI est une société américaine qui a aspiré des milliards de photos depuis les réseaux sociaux, les sites d'information et d'autres sources publiques pour constituer une base de données de reconnaissance faciale. Sans consentement, sans information, et sans aucune base légale au sens du droit européen.

La CNIL a jugé que :

• La collecte de données biométriques (visages) sans consentement violait les articles 6 et 9 du RGPD (les données biométriques étant des données sensibles au sens de l'article 9).
• Les personnes n'étaient ni informées ni en mesure d'exercer leurs droits d'accès, de rectification ou d'effacement.
• Clearview AI avait ignoré une mise en demeure de la CNIL de décembre 2021.

L'amende de 20 millions d'euros correspond au plafond réglementaire pour ce type de violation. La CNIL a aussi ordonné la cessation de la collecte et le droit d'effacement pour les résidents français, sous astreinte de 100 000 € par jour de retard.

Le hic : Clearview AI est basée aux États-Unis et n'a pas d'établissement en France. L'exécution de la décision reste un défi pratique. Ce cas illustre une limite du RGPD : face à des entreprises étrangères sans présence physique en Europe, le recouvrement des amendes est compliqué.

Ce qu'il faut retenir : les données biométriques (visage, empreintes, voix) bénéficient d'une protection renforcée sous l'article 9 du RGPD. Toute collecte sans consentement explicite est sanctionnée au plafond.

Sécurité et protection des données : quand la technique fait défaut

7. Uber B.V. et Uber France - 10 millions d'euros

Date de la décision : 17 décembre 2024 Montant : 10 000 000 € Articles violés : Article 32 du RGPD (sécurité du traitement)

La CNIL a sanctionné Uber pour des défaillances de sécurité dans la protection des données des chauffeurs VTC utilisant la plateforme en France. L'enquête a révélé que l'API utilisée pour la gestion des comptes chauffeurs présentait des failles permettant l'accès non autorisé à des données personnelles : pièces d'identité, permis de conduire, relevés de courses et données de géolocalisation.

Les manquements relevés :

• Absence de mesures de sécurité suffisantes sur les points d'accès API (authentification faible, pas de limitation de débit).
• Défaut de chiffrement pour certaines catégories de données sensibles en transit.
• Notification tardive à la CNIL après la découverte d'un incident en 2023.

Ce n'est pas la première fois qu'Uber est sanctionné en France. En 2018, la CNIL avait déjà infligé 400 000 euros pour la fuite de données de 2016 (57 millions d'utilisateurs mondiaux, dont 1,4 million en France) qu'Uber avait dissimulée pendant un an. La récidive a clairement pesé dans le montant de 2024.

Ce qu'il faut retenir : l'article 32 du RGPD impose des mesures de sécurité « appropriées au risque ». La CNIL évalue la sécurité en fonction du volume et de la sensibilité des données. Pour une plateforme qui gère des millions de pièces d'identité, un simple login/mot de passe sur une API ne passe pas. Et la récidive aggrave la sanction.

8. TikTok - 5 millions d'euros

Date de la décision : 29 décembre 2022 Montant : 5 000 000 € Articles violés : Article 82 de la loi Informatique et Libertés

Encore les cookies. Sur tiktok.com, la CNIL a constaté deux problèmes :

1. L'information fournie aux utilisateurs sur les finalités des cookies était insuffisante et rédigée uniquement en anglais pour les utilisateurs français.
2. Le refus des cookies nécessitait plus de clics que l'acceptation - le même grief récurrent.

Le montant peut paraître modeste comparé aux 150 millions de Google. La différence s'explique par le chiffre d'affaires de TikTok France à l'époque, nettement inférieur à celui de Google France. La CNIL calibre ses amendes en proportion des revenus de l'entité sanctionnée.

Ce qu'il faut retenir : l'information sur les cookies doit être rédigée dans la langue de l'utilisateur. Un bandeau en anglais sur un site accessible depuis la France ne remplit pas l'obligation d'information. Cela vaut aussi pour les CGU, les politiques de confidentialité et tout document soumis à l'obligation de transparence du RGPD.

9. Voodoo - 3 millions d'euros

Date de la décision : 17 janvier 2024 Montant : 3 000 000 € Articles violés : Article 82 de la loi Informatique et Libertés + Articles 5 et 13 du RGPD

Voodoo est un éditeur français de jeux mobiles (plus de 6 milliards de téléchargements cumulés). La CNIL a sanctionné l'entreprise pour la manière dont ses applications collectaient l'identifiant publicitaire des utilisateurs (IDFA sur iOS, GAID sur Android) et le transmettaient à des partenaires publicitaires avant d'avoir recueilli le consentement de l'utilisateur.

Concrètement, quand un joueur ouvrait une application Voodoo, les SDK publicitaires intégrés commençaient à collecter et transmettre des données de tracking avant même que le pop-up de consentement ne s'affiche. Le temps entre l'ouverture de l'application et l'affichage du consentement - quelques secondes à peine - suffisait pour que les traceurs soient activés.

La CNIL a aussi relevé un défaut d'information : les utilisateurs n'étaient pas clairement informés de l'identité des partenaires recevant leurs données ni des finalités précises de chaque traitement.

Ce qu'il faut retenir : sur mobile, les mêmes règles s'appliquent que sur le web. L'identifiant publicitaire mobile est un traceur au sens de l'article 82 de la loi Informatique et Libertés. Les SDK publicitaires doivent être configurés pour ne rien transmettre avant le consentement. Si vos développeurs chargent le SDK au démarrage de l'app « pour des raisons de performance », c'est une violation.

Les sanctions oubliées : PME et entreprises françaises

10. Carrefour France + Carrefour Banque - 3 millions d'euros (2,25 M€ + 800 K€)

Date de la décision : 18 novembre 2020 Montant : 2 250 000 € (Carrefour France) + 800 000 € (Carrefour Banque) = 3 050 000 € Articles violés : Articles 5, 6, 13, 17, 21 et 32 du RGPD

Carrefour cumule un nombre inhabituel de manquements dans une seule procédure :

• Information insuffisante (art. 13) - La politique de confidentialité du site carrefour.fr et du programme de fidélité était incompréhensible, trop longue et ne mentionnait pas clairement les destinataires des données ni les durées de conservation.

• Conservation excessive (art. 5) - Les données de plus de 28 millions de clients inactifs depuis 5 à 10 ans étaient toujours stockées. Carrefour Banque conservait les données de clients ayant clôturé leur compte depuis des années.

• Cookies sans consentement (art. 82 Loi IL) - Des cookies publicitaires étaient déposés avant toute action de l'utilisateur sur carrefour.fr.

• Entraves à l'exercice des droits (art. 17 et 21) - Pour exercer son droit d'effacement ou d'opposition, un client devait fournir une copie de pièce d'identité, ce que la CNIL a jugé disproportionné pour ce type de demande.

• Sécurité (art. 32) - Les mots de passe des comptes clients étaient stockés avec un algorithme de hachage obsolète (MD5).

Ce qu'il faut retenir : Carrefour est un cas d'école de l'accumulation. Aucun des manquements pris individuellement n'aurait justifié 3 millions d'euros. Mais l'addition de six violations distinctes, touchant des millions de personnes, a conduit à cette somme. La leçon pour les PME : un audit global vaut mieux que des corrections ponctuelles. Quand la CNIL ouvre un contrôle, elle regarde tout.

11. RATP - 2 millions d'euros

Date de la décision : 16 octobre 2024 Montant : 2 000 000 € Articles violés : Articles 5, 9 et 32 du RGPD

La RATP a été sanctionnée pour avoir inclus dans les dossiers d'évaluation de ses agents le nombre de jours de grève auxquels ils avaient participé. Cette information, qui relève de l'activité syndicale et donc des données sensibles au sens de l'article 9 du RGPD, était utilisée comme critère dans le processus d'avancement et de promotion des agents.

La CNIL a constaté que :

• L'information sur les jours de grève figurait dans les fichiers d'évaluation de plus de 7 000 agents sur plusieurs années.
• Cette donnée était traitée sans base légale et constituait un traitement de données sensibles prohibé par l'article 9 du RGPD.
• Le système d'information RH présentait des insuffisances de sécurité (accès trop larges aux dossiers du personnel).

Ce qu'il faut retenir : les données relatives à l'appartenance syndicale, aux opinions politiques, à la santé et aux convictions religieuses sont des données sensibles sous l'article 9 du RGPD. Même une mention indirecte - comme le nombre de jours de grève, qui trahit l'activité syndicale - suffit à caractériser un traitement illicite. Les entreprises doivent purger leurs fichiers RH de toute information de ce type.

12. Dedalus Biologie - 1,5 million d'euros

Date de la décision : 15 avril 2022 Montant : 1 500 000 € Articles violés : Articles 28, 29 et 32 du RGPD

Ce cas est l'un des plus graves en termes d'impact humain. En février 2021, un fichier contenant les données médicales de 491 840 patients apparaît sur un forum de piratage. Noms, prénoms, numéros de Sécurité sociale, noms des médecins traitants, dates d'examens, et surtout des résultats d'analyses biologiques (sérologie VIH, hépatites, marqueurs tumoraux, données de grossesse, traitements médicamenteux). Des données médicales d'une sensibilité extrême.

L'origine de la fuite : Dedalus Biologie, un éditeur de logiciels de laboratoires d'analyses médicales. Lors d'une migration de logiciel pour un client (un groupement de laboratoires), un fichier d'extraction contenant ces données a été laissé accessible sur un serveur FTP non sécurisé. Pas de chiffrement, pas de contrôle d'accès, pas de suppression après la migration.

La CNIL a relevé trois violations :

1. Défaut d'encadrement de la sous-traitance (art. 28) - Dedalus agissait en tant que sous-traitant des laboratoires mais n'avait pas respecté ses obligations contractuelles de sécurité.

2. Traitement en dehors des instructions du responsable (art. 29) - Le fichier d'extraction avait été créé pour une finalité technique (migration) mais n'avait jamais été supprimé ni signalé au laboratoire client.

3. Sécurité insuffisante (art. 32) - Un serveur FTP sans authentification, sans chiffrement, contenant des données de santé. La CNIL a qualifié le manquement de « particulièrement grave ».

Ce qu'il faut retenir : si votre entreprise est sous-traitante au sens du RGPD (vous traitez des données pour le compte d'un client), l'article 28 vous impose des obligations de sécurité propres. Les fichiers temporaires, les extractions de migration, les exports pour tests - tout ça doit être tracé, sécurisé et supprimé après usage. Dedalus a payé 1,5 million, mais les 491 840 patients dont le statut VIH ou les marqueurs tumoraux ont été publiés en ligne ont payé bien plus cher.

Pour approfondir les conséquences des fuites de données de santé en France, consultez notre analyse des 50 plus grandes fuites de données.

13. Discord Inc. - 800 000 euros

Date de la décision : 17 novembre 2022 Montant : 800 000 € Articles violés : Articles 5, 13 et 32 du RGPD

Discord, la plateforme de messagerie utilisée par 150 millions d'utilisateurs actifs mensuels (dont une part importante de mineurs en France), a été sanctionnée sur trois points :

1. Conservation excessive des données (art. 5) - Discord conservait les comptes et les données de millions d'utilisateurs qui ne s'étaient pas connectés depuis plus de trois ans. 2,4 millions de comptes d'utilisateurs français étaient dans ce cas. Aucune politique de suppression automatique n'était en place.

2. Information insuffisante (art. 13) - La politique de confidentialité, rédigée en anglais, n'était pas traduite en français. Les durées de conservation n'étaient pas mentionnées.

3. Sécurité (art. 32) - La politique de mots de passe était insuffisante : Discord acceptait des mots de passe de seulement 6 caractères, sans complexité imposée. Pour un service traitant des communications privées de millions de personnes, dont des mineurs, la CNIL a jugé ce niveau de sécurité inadapté.

Ce qu'il faut retenir : la conservation illimitée de comptes inactifs est un motif récurrent de sanction. Si vous gérez une base d'utilisateurs, vous devez définir une durée de conservation et supprimer les comptes inactifs au-delà. La CNIL recommande généralement 3 ans d'inactivité pour les comptes clients, 13 mois pour les cookies.

14. Accor - 600 000 euros

Date de la décision : 3 août 2022 Montant : 600 000 € Articles violés : Article 82 de la loi Informatique et Libertés + Articles 12 et 21 du RGPD

Le groupe hôtelier Accor a été sanctionné pour deux pratiques distinctes :

1. Prospection commerciale par email sans consentement (art. 82 Loi IL) - Des emails promotionnels étaient envoyés à des clients ayant explicitement refusé de recevoir de la prospection commerciale. Le système de gestion des préférences ne fonctionnait pas correctement : les choix de désinscription des clients n'étaient pas transmis à tous les systèmes de marketing d'Accor.

2. Entrave au droit d'opposition (art. 21 RGPD) - Même après avoir cliqué sur le lien de désinscription dans les emails, certains clients continuaient à recevoir des communications promotionnelles. Le processus de désinscription prenait plusieurs semaines à se propager dans les différents systèmes.

Ce qu'il faut retenir : quand un client dit « stop », ça doit être immédiat et total. Pas « stop dans 15 jours après synchronisation du CRM ». Si vos outils marketing ne gèrent pas la révocation du consentement en temps réel, c'est un problème juridique autant que technique. Accor n'avait pas un problème de mauvaise volonté, mais un problème d'architecture technique - ses différents systèmes ne communiquaient pas les préférences de consentement. Le résultat est le même : 600 000 euros.

15. Doctissimo - 380 000 euros

Date de la décision : 11 mai 2023 Montant : 380 000 € Articles violés : Articles 5, 6, 7, 13 du RGPD + Article 82 de la loi Informatique et Libertés

Doctissimo, l'un des sites d'information santé les plus consultés en France (plus de 50 millions de visites par mois), a été sanctionné pour la manière dont il collectait et partageait les données de ses utilisateurs.

Les constats de la CNIL :

• Cookies sans consentement (art. 82 Loi IL) - Des traceurs publicitaires étaient déposés avant le recueil du consentement. Classique.

• Partage de données avec des courtiers en données (data brokers) sans base légale valide (art. 6) - Doctissimo transmettait les données de navigation de ses utilisateurs (incluant des données liées à des recherches de santé - symptômes, maladies, traitements) à des partenaires publicitaires sans consentement valide. Le site utilisait des questionnaires de santé (« Êtes-vous dépressif ? », « Testez votre niveau d'anxiété ») dont les résultats étaient partagés avec des tiers.

• Conservation excessive (art. 5) - Les données des comptes utilisateurs inactifs étaient conservées au-delà des durées déclarées.

• Défaut de preuve du consentement (art. 7) - Doctissimo ne pouvait pas démontrer que les consentements recueillis étaient valides et éclairés.

Ce qu'il faut retenir : les données relatives à la santé, même quand elles sont déclaratives (réponses à un quiz, recherches sur un site), sont des données sensibles. Les partager avec des courtiers publicitaires sans consentement explicite est une violation caractérisée. Si votre site collecte des informations pouvant révéler l'état de santé des visiteurs (pharmacies en ligne, sites de santé, mutuelles), la barre de conformité est plus haute.

Les pionnières : les premières sanctions CNIL

16. Sephora - 250 000 euros

Date de la décision : 20 janvier 2023 Montant : 250 000 € Articles violés : Article 82 de la loi Informatique et Libertés

Sephora a été prise dans la campagne de contrôles que la CNIL a lancée en 2021-2022 sur la conformité des sites web en matière de cookies. Lors d'un contrôle en ligne en juin 2021, les agents de la CNIL ont constaté que le site sephora.fr déposait des cookies publicitaires dès le chargement de la page, avant toute action de l'utilisateur.

Après un premier rappel en juillet 2021, la CNIL a vérifié en janvier 2022 que les manquements persistaient. Sephora n'avait toujours pas mis en place un mécanisme de recueil du consentement conforme. La CNIL a donc engagé la procédure de sanction.

Ce qu'il faut retenir : la CNIL mène des contrôles en ligne systématiques. Ses agents visitent des sites web, analysent le trafic réseau et vérifient si des cookies sont déposés avant consentement. C'est un contrôle automatisable et les équipes de la CNIL l'ont industrialisé depuis 2021. Tout site web est potentiellement concerné. Vérifiez le vôtre - ça prend cinq minutes avec un outil comme CookieBot ou l'extension de navigateur Cookie Quick Manager.

17. Optical Center - 250 000 euros

Date de la décision : 7 juin 2018 Montant : 250 000 € Articles violés : Loi Informatique et Libertés (pré-RGPD, équivalent de l'article 32 RGPD)

L'affaire Optical Center est l'une des premières sanctions lourdes de la CNIL et elle reste un cas d'école en matière de sécurité web. Le site d'Optical Center permettait à ses clients de consulter leurs factures en ligne. Le problème : en modifiant l'identifiant dans l'URL (par exemple en changeant facture_id=1234 par facture_id=1235), n'importe qui pouvait accéder aux factures d'autres clients. Pas de vérification que l'utilisateur connecté était bien le propriétaire de la facture.

Cette vulnérabilité, connue sous le nom d'IDOR (Insecure Direct Object Reference), est l'une des plus basiques en sécurité web. Elle figure dans le Top 10 OWASP depuis sa première édition. Les factures contenaient noms, adresses, numéros de téléphone, prescriptions ophtalmologiques et montants de remboursement - des données de santé au sens du RGPD.

Ce n'était pas non plus la première fois qu'Optical Center était sanctionné : en 2015, l'enseigne avait déjà reçu un avertissement public pour un défaut de sécurité similaire.

Ce qu'il faut retenir : les vulnérabilités IDOR sont triviales à exploiter et à corriger. Si votre site permet aux utilisateurs d'accéder à des ressources via un identifiant dans l'URL (factures, commandes, dossiers), chaque accès doit vérifier que l'utilisateur a le droit de consulter cette ressource spécifique. C'est du contrôle d'accès 101.

18. TOTAL Énergies (ex-Direct Énergie) - 200 000 euros

Date de la décision : 24 novembre 2022 Montant : 200 000 € Articles violés : Articles 5 et 21 du RGPD + Article 82 de la loi Informatique et Libertés

TOTAL Énergies a été sanctionné pour deux motifs :

1. Prospection téléphonique de personnes inscrites sur Bloctel (art. 82 Loi IL + art. L. 223-1 du Code de la consommation) - TOTAL Énergies démarchait par téléphone des personnes qui avaient pourtant inscrit leur numéro sur la liste d'opposition Bloctel. La société n'avait pas mis à jour sa base de données prospection avec la liste Bloctel avant ses campagnes.

2. Collecte de données de consommation énergétique via les compteurs Linky sans consentement spécifique (art. 5 RGPD) - TOTAL Énergies collectait les données de consommation horaire des compteurs Linky de ses clients sans les avoir clairement informés de cette collecte ni avoir recueilli leur consentement. Ces données granulaires permettent de déduire les habitudes de vie (heures de lever, de coucher, absences du domicile).

Ce qu'il faut retenir : les données des compteurs connectés (Linky, eau, gaz) sont des données personnelles. Leur collecte granulaire (pas seulement le relevé mensuel, mais les courbes de charge horaires) permet d'inférer des comportements privés et nécessite un consentement spécifique. Toute entreprise du secteur de l'énergie doit prendre ce point au sérieux.

19. Infogreffe - 250 000 euros

Date de la décision : 8 septembre 2022 Montant : 250 000 € Articles violés : Articles 5 et 32 du RGPD

Infogreffe, le site qui donne accès aux informations légales des entreprises françaises (extraits Kbis, comptes annuels), a été sanctionné sur deux points :

1. Conservation excessive des données (art. 5) - Les données des comptes utilisateurs étaient conservées bien au-delà des durées nécessaires. Plus de 946 000 comptes d'utilisateurs inactifs depuis plus de 36 mois étaient toujours en base.

2. Mots de passe insuffisamment sécurisés (art. 32) - Infogreffe stockait les mots de passe des utilisateurs avec la fonction de hachage MD5, connue pour être vulnérable depuis les années 2000. De plus, le site acceptait des mots de passe de seulement 8 caractères sans exigence de complexité, et transmettait les mots de passe en clair par email lors de la création de compte.

Ce qu'il faut retenir : MD5 pour le hachage des mots de passe est inacceptable en 2022. La CNIL recommande bcrypt, scrypt ou Argon2 avec un coût de calcul suffisant. Et l'envoi de mots de passe en clair par email est un signal d'alarme immédiat - si votre service envoie le mot de passe en clair lors de l'inscription, c'est qu'il ne le hache pas correctement (ou pas du tout).

20. Darty - 100 000 euros

Date de la décision : 8 janvier 2018 Montant : 100 000 € Articles violés : Article 34 de la loi Informatique et Libertés (équivalent de l'article 32 RGPD)

L'affaire Darty est historiquement l'une des premières sanctions significatives de la CNIL en matière de sécurité des données. Un formulaire de contact sur le site de Darty, destiné à recueillir les demandes de service après-vente, était accessible sans aucune restriction depuis un navigateur. En modifiant l'URL, n'importe qui pouvait consulter les demandes soumises par d'autres clients : noms, adresses, numéros de téléphone, descriptions de pannes (parfois avec des informations bancaires ou des photocopies de pièces d'identité que les clients avaient jointes).

Ce qui rend ce cas notable, c'est que le formulaire n'avait pas été développé par Darty elle-même mais par un prestataire externe. Darty a invoqué cet argument pour tenter de se dédouaner. La CNIL a répondu que le responsable de traitement (Darty) reste responsable de la sécurité des données, même quand le traitement est sous-traité. Le prestataire avait livré un formulaire non sécurisé, mais Darty n'avait pas vérifié sa conformité avant la mise en production.

Ce qu'il faut retenir : la responsabilité du responsable de traitement ne se délègue pas. Que le code ait été écrit par un prestataire, un freelance ou une agence, c'est l'entreprise qui met en production qui porte la responsabilité devant la CNIL. Toute mise en ligne d'un formulaire collectant des données personnelles doit être précédée d'un test de sécurité - même basique.

Pour les PME qui veulent vérifier la sécurité de leurs emails, notre outil gratuit de diagnostic email teste SPF, DKIM et DMARC en quelques secondes.

Les motifs récurrents : ce que 20 sanctions nous disent

En analysant ces 20 affaires, cinq schémas se dégagent nettement.

Le consentement aux cookies : 8 amendes sur 20

Google, Microsoft, Facebook, TikTok, Amazon, Sephora, Carrefour, Doctissimo - huit entreprises sanctionnées pour des manquements liés aux cookies et traceurs. Le total : plus de 325 millions d'euros sur les 391 millions cumulés. Le consentement aux cookies est, de très loin, le premier motif de sanction en volume financier.

Le dénominateur commun de ces affaires :

• Des cookies publicitaires déposés avant le consentement.
• Un bouton « Tout accepter » plus visible ou plus accessible que le bouton « Tout refuser ».
• Une information insuffisante sur les finalités des cookies.

La CNIL a lancé trois vagues de contrôles en 2021, 2022 et 2023, ciblant spécifiquement la conformité cookies. Les contrôles se font en ligne : un agent de la CNIL visite le site avec un navigateur paramétré pour détecter les dépôts de cookies. C'est rapide, peu coûteux pour la CNIL, et difficilement contestable.

Pour les PME : vérifiez votre site maintenant. Ouvrez votre site en navigation privée, videz les cookies, et observez. Si votre outil d'analytics ou des traceurs publicitaires se chargent avant que vous ayez cliqué « Accepter », vous êtes en infraction. Des solutions comme Axeptio, Didomi ou Tarteaucitron (open source) permettent de gérer le consentement correctement.

La sécurité des données : l'article 32 en embuscade

Uber, Discord, Dedalus, Darty, Optical Center, Infogreffe, Carrefour - sept entreprises sanctionnées pour des failles de sécurité. Les manquements les plus fréquents :

• Mots de passe hachés en MD5 ou stockés en clair
• APIs sans authentification ou avec une authentification faible
• Absence de contrôle d'accès aux documents (IDOR)
• Serveurs contenant des données sensibles accessibles sans restriction
• Mots de passe utilisateurs trop faibles acceptés par le système

L'article 32 du RGPD n'impose pas un niveau de sécurité absolu. Il impose des mesures proportionnées au risque. Plus les données sont sensibles (santé, biométrie, données financières), plus les mesures doivent être exigeantes. La CNIL évalue cas par cas, mais certaines pratiques sont systématiquement sanctionnées : MD5, absence de MFA sur les accès administrateur, IDOR, mots de passe de moins de 8 caractères.

La CNIL a publié en 2024 une mise à jour de ses recommandations sur la sécurité des données personnelles, avec un guide pratique détaillé. Si vous ne l'avez pas lu, c'est ici.

La conservation excessive : le fantôme dans le placard

Discord, Carrefour, Infogreffe, Doctissimo - quatre entreprises sanctionnées pour avoir conservé des données au-delà du nécessaire. C'est un manquement « silencieux » : personne ne se plaint, aucun incident ne se produit, mais lors d'un contrôle, la CNIL découvre des millions de comptes inactifs depuis des années, jamais purgés.

L'article 5(1)(e) du RGPD (principe de limitation de la conservation) impose que les données personnelles soient conservées uniquement « pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». En pratique, la CNIL attend de chaque responsable de traitement qu'il définisse des durées de conservation par catégorie de données et qu'il mette en place des mécanismes de purge automatique.

Durées de référence selon la CNIL :

• Données de prospects n'ayant pas répondu : 3 ans après le dernier contact
• Comptes clients inactifs : 3 ans après la fin de la relation
• Cookies et traceurs : 13 mois maximum
• Données de journalisation (logs) : 6 mois à 1 an
• Données des salariés : 5 ans après le départ (hors obligations légales de conservation plus longues)

Les données de santé : tolérance zéro

Dedalus Biologie (données de laboratoire), Doctissimo (questionnaires de santé), Clearview AI (données biométriques) - quand des données de santé ou des données biométriques sont en jeu, la CNIL frappe dur, même quand les montants sont « modestes » par rapport aux amendes cookies.

Dedalus a pris 1,5 million d'euros pour une fuite qui touchait 491 840 personnes. Proportionnellement au chiffre d'affaires de Dedalus France, c'est un pourcentage bien plus élevé que les 150 millions infligés à Google. Et les conséquences pour les patients dont le statut VIH a été publié sur un forum de piratage sont incomparables avec un cookie mal configuré.

L'article 9 du RGPD accorde une protection spéciale aux données de santé, aux données biométriques, aux données génétiques, aux opinions politiques, aux convictions religieuses et à l'orientation sexuelle. Tout traitement de ces données sans base légale valide (consentement explicite, nécessité pour des soins de santé, intérêt public) est sanctionné au plafond.

Le défaut de sous-traitance : le maillon invisible

Dedalus (sous-traitant des laboratoires), Darty (prestataire du formulaire), Criteo (partenaires qui devaient recueillir le consentement) - dans trois affaires sur vingt, le problème venait d'un tiers. Mais la sanction a frappé l'entreprise principale.

L'article 28 du RGPD impose au responsable de traitement de « ne faire appel qu'à des sous-traitants qui présentent des garanties suffisantes ». Cela signifie :

• Un contrat de sous-traitance écrit (obligatoire sous l'article 28.3)
• Des vérifications de sécurité avant la mise en production
• Un suivi des pratiques du sous-traitant
• Des clauses sur le sort des données à la fin du contrat

Si votre prestataire informatique perd vos données, c'est vous que la CNIL sanctionnera. Pas lui (ou pas seulement lui).

Comment la CNIL décide du montant d'une amende

La CNIL ne pioche pas un chiffre au hasard. L'article 83 du RGPD liste les critères que toute autorité de protection des données doit prendre en compte :

Facteurs aggravants :

• La violation est délibérée (Clearview AI savait exactement ce qu'elle faisait)
• Un grand nombre de personnes est affecté (43 millions pour France Travail, 491 840 pour Dedalus)
• Les données sont sensibles (santé, biométrie)
• L'entreprise a déjà été sanctionnée ou mise en demeure (Uber en 2018 puis 2024, Optical Center en 2015 puis 2018)
• L'entreprise n'a pas coopéré avec la CNIL
• L'entreprise a tenté de dissimuler l'incident (Uber avait payé les hackers pour garder le silence en 2016)

Facteurs atténuants :

• L'entreprise a corrigé rapidement le manquement
• L'entreprise a notifié l'incident de sa propre initiative
• L'entreprise a coopéré pleinement avec la CNIL
• Les mesures de sécurité en place étaient substantielles, même si insuffisantes

Le plafond : 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Pour Google (chiffre d'affaires 2021 de 257,6 milliards de dollars), 4 % représenterait plus de 10 milliards d'euros. Les 150 millions sont donc bien en dessous du plafond théorique - ce qui montre que la CNIL reste mesurée, même dans ses plus grosses sanctions.

La procédure simplifiée : la CNIL accélère depuis 2022

Depuis la loi du 24 janvier 2022 relative aux rancongiciels et à la vie numérique, la CNIL dispose d'une procédure simplifiée qui lui permet de sanctionner plus rapidement les manquements « courants ». Cette procédure, opérationnelle depuis mars 2022, présente les caractéristiques suivantes :

• Amende plafonnée à 20 000 € (contre 20 M€ pour la procédure ordinaire)
• Décision prise par le président de la formation restreinte seul (pas le collège)
• Procédure accélérée en quelques semaines (contre plusieurs mois pour la procédure ordinaire)
• Pas d'audience publique

En 2023, la CNIL a prononcé 24 sanctions via la procédure simplifiée au premier semestre seul, principalement pour des manquements liés à la sécurité des données (mots de passe faibles, absence de HTTPS), au défaut d'information et à la conservation excessive.

Pour les PME, cette procédure simplifiée change la donne. Avant 2022, la CNIL manquait de bandes passantes pour traiter les dossiers de petites entreprises - les affaires Google et Facebook monopolisaient les ressources. Maintenant, une PME de 50 salariés avec un site non conforme peut recevoir une sanction de 5 000 à 20 000 euros en quelques semaines. Le risque n'est plus théorique.

Si vous recevez une mise en demeure de la CNIL, notre guide sur la directive NIS 2 et ses implications pour les PME vous aidera à comprendre le cadre réglementaire plus large.

Les priorités de contrôle de la CNIL pour 2025-2026

La CNIL publie chaque année ses thématiques prioritaires de contrôle. Pour 2025-2026, quatre axes se dégagent :

Les données des mineurs

La CNIL a annoncé fin 2024 que la protection des données des mineurs serait l'une de ses priorités pour 2025. Cela concerne :

• Les plateformes de réseaux sociaux (vérification de l'âge, mécanismes de consentement parental)
• Les applications éducatives (EdTech) utilisées dans les écoles
• Les jeux vidéo en ligne et les applications mobiles destinées aux enfants
• Les mécanismes de ciblage publicitaire visant les mineurs

L'amende TikTok de 2022 (5 M€) est un précurseur. La prochaine vague de sanctions dans ce domaine sera probablement plus lourde, d'autant que le Digital Services Act (DSA) et le règlement européen sur l'IA ajoutent des obligations complémentaires.

L'intelligence artificielle et les données d'entraînement

La CNIL a créé un service dédié à l'IA en 2024 et a publié ses premières recommandations sur l'utilisation de données personnelles pour l'entraînement de modèles de langage. Les contrôles porteront sur :

• La base légale utilisée pour collecter des données d'entraînement (l'intérêt légitime est-il suffisant ?)
• L'exercice des droits d'opposition et d'effacement (peut-on « supprimer » une donnée d'un modèle déjà entraîné ?)
• La transparence vis-à-vis des personnes dont les données sont utilisées
• Les chatbots et assistants IA qui traitent des données personnelles des utilisateurs

OpenAI, Google DeepMind et les éditeurs européens de solutions IA sont dans le viseur. Mais les entreprises qui déploient des IA en interne (chatbots de service client, analyse de CV automatisée) sont aussi concernées.

La cybersécurité et les violations de données

Le nombre de notifications de violations reçues par la CNIL a atteint 4 668 en 2023 (hausse de 14 % sur un an). La CNIL a annoncé un renforcement de ses contrôles sur la sécurité des données, avec un accent sur :

• Le chiffrement des données au repos et en transit
• La gestion des accès et l'authentification multifacteur
• La sécurité des API (le point faible d'Uber)
• La gestion des sous-traitants et de la chaîne d'approvisionnement numérique

Les entreprises ayant subi une violation de données et notifié la CNIL font l'objet d'un contrôle systématique. La CNIL vérifie si les mesures de sécurité étaient proportionnées au risque. Si ce n'est pas le cas, une sanction peut s'ajouter aux conséquences de la fuite elle-même.

Pour les PME, la formation des collaborateurs au phishing reste le moyen le plus rentable de réduire le risque de violation de données, le phishing étant le premier vecteur d'accès initial dans 74 % des brèches (Verizon DBIR 2025).

Les courtiers en données (data brokers)

La sanction de Criteo (40 M€) et de Doctissimo (380 K€) a mis en lumière le fonctionnement opaque de l'industrie du courtage de données. La CNIL a indiqué que ce secteur resterait sous surveillance, avec une attention particulière aux :

• Entreprises qui revendent des données personnelles à des fins publicitaires
• Plateformes de programmatique qui traitent des données de navigation sans consentement vérifié
• Applications mobiles qui transmettent l'IDFA/GAID à des partenaires publicitaires (le cas Voodoo)

Guide pratique : comment une PME peut éviter une amende CNIL

Vous n'avez pas le budget juridique de Google, mais les règles du RGPD s'appliquent de la même manière. Voici un plan d'action en 10 points, calibré pour une PME de 20 à 250 salariés.

1. Auditez vos cookies (urgence : cette semaine)

Ouvrez votre site en navigation privée. Avant de cliquer sur quoi que ce soit dans le bandeau cookies, regardez quels scripts se chargent. Utilisez l'onglet « Réseau » des outils de développement de votre navigateur (F12) ou un outil comme CookieBot Scanner pour identifier les cookies déposés.

À vérifier :

• Aucun cookie non essentiel ne doit être déposé avant le consentement.
• Le bouton « Tout refuser » doit être aussi visible que « Tout accepter ».
• Les finalités de chaque cookie doivent être décrites clairement.
• La durée de conservation de chaque cookie ne doit pas dépasser 13 mois.

Si vous utilisez Google Analytics, Meta Pixel, ou des outils de publicité, ces traceurs doivent attendre le clic de l'utilisateur avant de s'activer. Vérifiez la configuration de votre CMP (plateforme de gestion du consentement).

2. Nettoyez votre base de données (urgence : ce mois)

Identifiez les comptes inactifs depuis plus de 3 ans et supprimez-les ou anonymisez-les. Vérifiez les durées de conservation par catégorie :

• Prospects non convertis : suppression après 3 ans sans contact
• Clients inactifs : suppression 3 ans après la fin de la relation
• Salariés ayant quitté l'entreprise : 5 ans après le départ (sauf obligations légales)
• Logs d'accès : 6 mois à 1 an
• Données de vidéosurveillance : 30 jours maximum

Action concrète : mettez en place une tâche automatique (cron job, script mensuel) qui purge les données expirées. Ne comptez pas sur un processus manuel - il sera oublié.

3. Sécurisez les mots de passe

Si votre application stocke des mots de passe avec MD5, SHA1 ou SHA256 sans sel, vous êtes en violation de l'article 32. La CNIL recommande :

• Algorithme de hachage : bcrypt (coût ≥ 12) ou Argon2id
• Longueur minimale du mot de passe : 12 caractères (recommandation CNIL 2024)
• Pas d'envoi de mot de passe en clair par email - uniquement des liens de réinitialisation avec expiration
• MFA (authentification multifacteur) pour les comptes administrateurs et les accès sensibles

4. Contrôlez vos accès (article 32)

L'IDOR (accès à des ressources en modifiant l'URL) a coûté 250 000 € à Optical Center et 100 000 € à Darty. Pour chaque endpoint de votre application :

• Vérifiez que l'utilisateur authentifié a le droit d'accéder à la ressource demandée
• N'utilisez pas d'identifiants séquentiels prévisibles dans les URL (préférez des UUID)
• Testez vos formulaires et vos API avec un outil de scan de vulnérabilité (OWASP ZAP est gratuit)

5. Encadrez vos sous-traitants (article 28)

Chaque prestataire qui accède à vos données personnelles doit avoir un contrat de sous-traitance conforme à l'article 28.3 du RGPD. Ce contrat doit préciser :

• L'objet et la durée du traitement
• Les catégories de données traitées
• Les mesures de sécurité exigées
• Les obligations en cas de violation (notification sous 48 heures)
• Le sort des données à la fin du contrat (restitution ou destruction)

Si votre prestataire informatique n'a pas signé ce contrat, régularisez la situation immédiatement. Le cas Dedalus montre que les conséquences d'un sous-traitant négligent retombent sur le responsable de traitement.

6. Formez vos collaborateurs

La CNIL regarde si l'entreprise a pris des mesures organisationnelles - pas seulement techniques - pour protéger les données. La formation des employés en fait partie. Les points à couvrir :

• Reconnaître un email de phishing (vecteur n° 1 des violations de données)
• Savoir à qui signaler un incident ou un email suspect
• Comprendre les règles de base du RGPD (ne pas envoyer de données personnelles par email non chiffré, ne pas utiliser des outils non autorisés)
• Connaître la politique de conservation des données de l'entreprise

Une simulation de phishing régulière réduit le taux de clic sur les emails malveillants de 33 % à moins de 5 % en six mois (KnowBe4 Phishing by Industry Benchmarking Report 2024). C'est aussi un élément de preuve de diligence en cas de contrôle CNIL.

7. Désignez un référent RGPD

La désignation d'un DPO (délégué à la protection des données) est obligatoire pour les organismes publics, les entreprises dont le cœur d'activité implique un suivi systématique des personnes à grande échelle, et les entreprises traitant des données sensibles à grande échelle. Pour les autres PME, c'est recommandé mais pas obligatoire.

À défaut de DPO, désignez un référent RGPD interne - quelqu'un qui coordonne la conformité, tient le registre des traitements et répond aux demandes des personnes concernées. Ce n'est pas un poste à temps plein pour une PME de 50 salariés, mais c'est un rôle qui doit être attribué.

8. Tenez votre registre des traitements (article 30)

Le registre des traitements est obligatoire pour toute entreprise de plus de 250 salariés, et pour toute entreprise dont les traitements sont susceptibles de comporter un risque pour les droits et libertés des personnes (ce qui inclut de fait quasiment toutes les entreprises).

La CNIL fournit un modèle de registre téléchargeable gratuitement. Pour chaque traitement, vous devez documenter : la finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité.

9. Préparez votre réponse aux demandes de droits

Les articles 15 à 22 du RGPD donnent aux personnes le droit d'accéder à leurs données, de les rectifier, de les effacer, de limiter leur traitement, de les porter et de s'opposer au traitement. Criteo a été sanctionné (entre autres) pour ne pas avoir correctement répondu aux demandes d'accès et d'effacement.

Mettez en place :

• Une adresse email dédiée (dpo@votre-entreprise.com ou rgpd@...)
• Un processus interne documenté pour traiter les demandes dans le délai légal de 1 mois
• Un modèle de réponse pour chaque type de demande
• Un registre des demandes reçues et des réponses apportées

10. Réalisez un test de phishing

Le phishing est le premier vecteur d'accès initial dans les violations de données (Verizon DBIR 2025 : 74 % des brèches impliquent le facteur humain). La CNIL, dans ses contrôles, évalue si l'entreprise a pris des mesures de prévention. Une campagne de simulation de phishing est une mesure concrète, mesurable et documentable.

Si vous n'avez jamais lancé de simulation de phishing dans votre entreprise, consultez nos benchmarks par secteur pour savoir à quoi vous attendre, et notre guide complet de la simulation de phishing pour mettre en place votre première campagne.

Les sanctions CNIL et l'assurance cyber : un lien direct

Un point que beaucoup de dirigeants ignorent : les amendes CNIL ne sont pas assurables en droit français. Votre assurance responsabilité civile professionnelle, votre assurance cyber - aucune ne couvrira le montant d'une sanction administrative. Les amendes sont des sanctions pénales ou quasi-pénales ; les assurer reviendrait à permettre au contrevenant de s'exonérer de sa responsabilité, ce qui est contraire à l'ordre public.

En revanche, les frais suivants peuvent être couverts par une assurance cyber :

• Les frais de notification aux personnes concernées
• Les frais de forensics (investigation technique)
• Les frais d'avocat pour contester la sanction
• Les frais de relations publiques et de gestion de crise
• Le coût de l'interruption d'activité liée à un incident

Notre article sur l'assurance cyber et la preuve de formation des employés détaille les exigences des assureurs en matière de prévention - y compris la preuve que vous formez vos collaborateurs au phishing.

L'effet domino : amende CNIL + atteinte à la réputation + perte de clients

L'amende CNIL n'est que la partie visible. Pour une PME, les conséquences indirectes peuvent être plus graves que l'amende elle-même.

Publicité de la sanction : depuis 2022, toutes les sanctions de la CNIL sont publiques, nommant l'entreprise sanctionnée. Elles apparaissent dans les résultats Google. Si un prospect tape le nom de votre entreprise et trouve « sanctionné par la CNIL pour violation de données », l'impact commercial est immédiat.

Perte de confiance des clients : une étude Cisco Data Privacy Benchmark 2024 indique que 94 % des consommateurs déclarent qu'ils n'achèteraient pas à une entreprise qui ne protège pas correctement leurs données. Ce chiffre est probablement exagéré (les déclarations d'intention ne se traduisent pas toujours en actes), mais la tendance est réelle.

Perte de marchés publics et privés : de plus en plus d'appels d'offres, publics comme privés, incluent des clauses de conformité RGPD. Une sanction CNIL disqualifie de fait l'entreprise pour ces marchés.

Le coût total : pour une PME, une amende CNIL de 50 000 € peut entraîner des coûts indirects de 200 000 à 500 000 € quand on additionne les frais d'avocat, la mise en conformité, la perte de clients et le temps de direction consacré à la gestion de la crise. Notre analyse du coût d'une cyberattaque pour une PME de 50 personnes chiffre ces cascades de coûts en détail.

Le RGPD français vs. le RGPD européen : la CNIL est-elle plus sévère ?

La France fait partie des pays européens qui sanctionnent le plus. Selon l'EDPB (Comité européen de la protection des données), la CNIL est la deuxième autorité européenne en volume d'amendes prononcées, derrière la DPC irlandaise (qui gère les dossiers Meta, Apple et Google pour l'UE) et devant la BfDI allemande et la AEPD espagnole.

Quelques comparaisons utiles :

Autorité	Pays	Plus grosse amende	Total cumulé (2018-2025)
DPC	Irlande	1,2 Md€ (Meta, 2023)	~4 Md€
CNIL	France	150 M€ (Google, 2022)	~600 M€
BfDI	Allemagne	35,3 M€ (H&M, 2020)	~200 M€
AEPD	Espagne	10 M€ (CaixaBank, 2021)	~150 M€
ICO	Royaume-Uni	20,4 M€ (British Airways, 2020)	~120 M€

La particularité de la CNIL : elle a développé une expertise spécifique sur les cookies et le ciblage publicitaire, d'où la concentration de sanctions dans ce domaine. La DPC irlandaise, elle, se concentre sur les transferts de données internationaux (d'où l'amende record de 1,2 milliard contre Meta en 2023). Chaque autorité a son « cheval de bataille ».

Pour les PME françaises, la CNIL est l'interlocuteur direct. Et elle est bien plus active sur les contrôles de terrain (contrôles en ligne, contrôles sur place) que certaines de ses homologues européennes.

Que faire si vous recevez un courrier de la CNIL

Trois types de courriers peuvent arriver :

La demande d'information

La CNIL vous demande des précisions sur vos traitements. Ce n'est pas une sanction, mais ne la négligez pas. Répondez dans le délai imparti (généralement 1 mois). Soyez transparent. Mentir ou omettre des informations aggravera la situation si un contrôle suit.

La mise en demeure

La CNIL a constaté un manquement et vous donne un délai (généralement 1 à 3 mois) pour vous mettre en conformité. La mise en demeure n'est pas publique par défaut, mais la CNIL peut décider de la rendre publique. C'est ce qui est arrivé à Clearview AI (mise en demeure publique en décembre 2021, avant la sanction de 20 M€ en 2022).

Action : engagez un avocat spécialisé en données personnelles. Corrigez les manquements dans le délai. Documentez toutes les actions correctives. Adressez un rapport de mise en conformité à la CNIL avant l'expiration du délai.

La notification de contrôle

La CNIL vous informe qu'un contrôle sur place aura lieu à telle date. Vous pouvez aussi recevoir un contrôle en ligne (sans prévenir) ou un contrôle sur pièces (demande de documents).

Action : ne paniquez pas. Désignez un interlocuteur interne (DPO ou référent RGPD). Rassemblez votre registre des traitements, vos contrats de sous-traitance, votre politique de confidentialité et vos procédures de sécurité. Coopérez pleinement - la coopération est un facteur atténuant explicitement mentionné dans l'article 83 du RGPD.

Les enseignements pour 2026 et au-delà

En regardant ces 20 sanctions avec du recul, trois tendances se dessinent pour les années qui viennent.

Le consentement va rester le nerf de la guerre. Le règlement ePrivacy, en discussion depuis 2017, finira bien par être adopté un jour. En attendant, la directive ePrivacy (transposée en France par l'article 82 de la loi Informatique et Libertés) reste la base des sanctions cookies. La CNIL n'a aucune raison de relâcher la pression - les contrôles en ligne sont peu coûteux et les violations faciles à constater.

L'IA va générer une nouvelle vague de sanctions. Les entreprises qui utilisent des données personnelles pour entraîner des modèles d'IA, qui déploient des chatbots sans information suffisante, ou qui automatisent des décisions (recrutement, scoring, tarification) sans transparence sont les prochaines cibles.

La sécurité des données sera jugée plus sévèrement. Avec la multiplication des violations de données en France (plus de 50 fuites majeures entre 2020 et 2026), la CNIL va durcir ses exigences sur l'article 32. Le MFA deviendra probablement un standard minimum, et les entreprises qui stockent des données sensibles sans chiffrement auront du mal à plaider la bonne foi.

Pour les PME, le message est clair : la conformité RGPD n'est pas un luxe réservé aux grandes entreprises. C'est un investissement qui coûte quelques milliers d'euros par an (un CMP pour les cookies, un nettoyage de base de données, une formation des collaborateurs, un contrat de sous-traitance chez un avocat) et qui évite des sanctions de dizaines ou centaines de milliers d'euros.

Le premier pas le plus rentable ? Former vos collaborateurs à reconnaître le phishing, parce que 74 % des violations de données commencent par une erreur humaine. Et parce que c'est exactement le type de mesure que la CNIL vérifie lors de ses contrôles.

FAQ

Quelle est la plus grosse amende CNIL jamais infligée en France ?

La plus grosse amende prononcée par la CNIL est de 150 millions d'euros, infligée à Google Ireland le 31 décembre 2021 (confirmée début 2022) pour non-respect des règles de consentement aux cookies. Les utilisateurs de google.fr ne pouvaient pas refuser les cookies aussi facilement qu'ils pouvaient les accepter, en violation de l'article 82 de la loi Informatique et Libertés. Microsoft et Facebook ont chacun reçu 60 millions d'euros pour des manquements similaires le même jour.

Quels sont les articles du RGPD les plus souvent sanctionnés par la CNIL ?

Les articles les plus fréquemment invoqués dans les sanctions CNIL sont : l'article 6 (base légale du traitement, notamment le consentement), l'article 5 (principes de minimisation et de limitation de la conservation), l'article 13 (obligation d'information des personnes), l'article 32 (sécurité du traitement) et l'article 28 (encadrement des sous-traitants). L'article 82 de la loi Informatique et Libertés, transposition de la directive ePrivacy sur les cookies, est aussi très présent dans les sanctions majeures.

Les PME risquent-elles des amendes CNIL aussi élevées que les grandes entreprises ?

Les amendes CNIL sont proportionnées au chiffre d'affaires et à la gravité du manquement. Pour les PME, les sanctions se situent généralement entre 5 000 et 500 000 euros. La CNIL a prononcé des amendes de 380 000 € (Doctissimo), 100 000 € (Darty), 250 000 € (Optical Center) contre des entreprises de taille intermédiaire. Depuis 2022, la procédure simplifiée permet à la CNIL de traiter plus rapidement les dossiers de PME, avec des amendes plafonnées à 20 000 € dans ce cadre. Le risque financier direct est moindre, mais le préjudice réputationnel peut être dévastateur.

Combien d'amendes la CNIL prononce-t-elle par an ?

La CNIL a prononcé 42 sanctions en 2023 pour un total de 89,2 millions d'euros, et 31 sanctions en 2022 pour un total de 101 millions d'euros. Avec la procédure simplifiée introduite fin 2022, le rythme s'accélère. En 2024, la CNIL a continué sur cette trajectoire avec 87 mises en demeure et une quarantaine de sanctions.

Comment la CNIL calcule-t-elle le montant d'une amende ?

La CNIL prend en compte plusieurs critères définis à l'article 83 du RGPD : la nature, la gravité et la durée de la violation ; le nombre de personnes concernées ; le caractère intentionnel ou négligent du manquement ; les mesures prises pour atténuer le dommage ; les antécédents ; la coopération avec l'autorité ; les catégories de données touchées ; et le chiffre d'affaires de l'entreprise. Le plafond légal est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.

Peut-on contester une amende de la CNIL ?

Oui. Toute sanction de la CNIL peut faire l'objet d'un recours devant le Conseil d'État dans un délai de deux mois. Plusieurs entreprises ont exercé ce droit : Google a contesté son amende de 150 M€ (rejetée par le Conseil d'État en 2023), Criteo a contesté ses 40 M€ (procédure en cours en 2025). Le taux de succès des recours est faible : le Conseil d'État confirme la grande majorité des sanctions, parfois en réduisant légèrement le montant.