Sanctions CNIL 2025-2026 : bilans, montants et secteurs les plus touchés
La CNIL a prononcé en 2024 un total de 106 millions d'euros de sanctions — son bilan annuel le plus élevé depuis l'entrée en vigueur du RGPD en 2018. En 2025, la tendance s'est accélérée avec plusieurs sanctions supérieures à 10 millions d'euros prononcées contre des entreprises de taille moyenne, brisant le mythe que seules les grandes entreprises sont exposées.
Les sanctions record de 2024-2025
Les principales sanctions prononcées par la CNIL illustrent la diversité des motifs et des acteurs ciblés :
- Doctissimo (10 M€, 2024) : collecte de données de santé sans base légale valide, cookies non conformes, transferts vers des pays tiers sans garanties adéquates.
- FREE (300 000 €, 2024) : violation de données affectant 19,2 millions d'abonnés — données bancaires incluses. Manquements à la sécurité et à l'obligation de notification.
- CANAL+ (600 000 €, 2024) : prospection commerciale sans consentement valable, opposition au droit d'opposition non respectée.
- Diverses sanctions cookies (2024) : 20+ mises en demeure et sanctions pour des bannières de cookies non conformes (bouton de refus difficile d'accès, pas de refus en un clic).
Les 5 motifs de sanction les plus fréquents
1. Non-conformité des cookies et traceurs
Le sujet reste la première source de mises en demeure en France. La CNIL exige :
- Un bouton "Refuser tout" aussi accessible que "Accepter tout" — sur la même page, sans défilement.
- Pas de cases pré-cochées pour les finalités non essentielles.
- Durée de conservation des consentements limitée à 13 mois, rechargement mensuel non autorisé.
- Absence de cookie walls (accès au site conditionné à l'acceptation des traceurs) sans alternative payante.
2. Manquements à la sécurité des données
L'article 32 RGPD impose des mesures de sécurité adaptées. La CNIL sanctionne notamment :
- Mots de passe stockés en clair ou avec des algorithmes obsolètes (MD5, SHA-1).
- Absence de MFA sur les interfaces d'administration exposées sur Internet.
- Injections SQL ou XSS permettant l'accès aux données personnelles.
- Absence de chiffrement des données sensibles au repos et en transit.
- Logs de débogage contenant des données personnelles en production.
3. Non-respect des droits des personnes
Les droits RGPD (accès, rectification, effacement, opposition, portabilité) doivent être satisfaits dans un délai d'un mois (extensible à 3 mois pour les demandes complexes). La CNIL sanctionne :
- Délais excessifs de réponse ou absence de réponse aux demandes d'exercice des droits.
- Demandes d'informations disproportionnées pour exercer un droit (pièce d'identité systématique).
- Impossibilité technique de s'opposer au traitement ou de supprimer un compte.
4. Absence de base légale valide
Tout traitement de données personnelles doit reposer sur une base légale (consentement, contrat, obligation légale, intérêt légitime, mission d'intérêt public, intérêts vitaux). La CNIL sanctionne particulièrement l'utilisation abusive de "l'intérêt légitime" pour des traitements qui nécessitent un consentement.
5. Violations de données non ou mal notifiées
L'obligation de notification à la CNIL dans les 72 heures (art. 33 RGPD) et aux personnes concernées "dans les meilleurs délais" (art. 34) est de plus en plus contrôlée. Les manquements incluent :
- Notification tardive (après 72h sans raison valable).
- Sous-estimation de la gravité de la violation dans la notification.
- Absence de notification aux personnes concernées pour des violations à risque élevé.
Secteurs les plus sanctionnés
- E-commerce et retail (35 % des sanctions) : prospection commerciale, cookies, droits des consommateurs.
- Santé et médico-social (22 %) : données de santé particulièrement sensibles, sécurité insuffisante.
- Tech et médias (18 %) : publicité comportementale, transferts hors UE, cookies.
- Ressources humaines et recrutement (12 %) : durées de conservation, transparence, droits des candidats.
- Immobilier et finance (13 %) : partage de données avec des tiers, consentement.
Les nouvelles priorités de contrôle 2025-2026
La CNIL a annoncé ses thématiques prioritaires de contrôle pour 2025-2026 :
- Intelligence artificielle : collecte de données pour l'entraînement de modèles IA, droits des personnes face aux décisions automatisées (art. 22 RGPD).
- Données de mineurs : vérification de l'âge, COPPA européen, réseaux sociaux.
- Applications mobiles : permissions excessives, SDK tiers, profilage.
- Transferts hors UE post-Schrems II : validation des mécanismes (SCCs, BCRs) et TIA (Transfer Impact Assessment).
- Prospection commerciale B2B et B2C : opt-in vs opt-out, traçabilité des consentements.
Comment réduire votre risque de sanction CNIL
- Auditer votre bannière de cookies avec l'outil de vérification en ligne de la CNIL.
- Mettre en place un processus de gestion des demandes d'exercice des droits avec accusé de réception automatique et suivi dans un outil dédié.
- Réaliser un audit de sécurité annuel et corriger les vulnérabilités identifiées dans un délai formalisé.
- Tester votre processus de notification de violation de données avec une simulation de crise (tabletop exercise).
- Former régulièrement tous les collaborateurs au RGPD, pas seulement les équipes IT et juridique.
- Nommer ou externaliser un DPO (Délégué à la Protection des Données) si votre organisation est concernée par l'obligation.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit