Aller au contenu principal
ConformeCheck

Amendes CNIL 2026 : montants, procédures et entreprises sanctionnées

La Commission Nationale de l’Informatique et des Libertés (CNIL) a considérablement renforcé son activité répressive ces dernières années. En 2025, près de 486 millions d’euros d’amendes ont été prononcés, et la tendance s’accélère en 2026. Ce guide détaille les montants, les procédures et les mesures concrètes pour protéger votre entreprise.

Bilan CNIL 2025 : une année record

L’année 2025 restera comme une année charnière pour la protection des données en France. La CNIL a publié des chiffres éloquents dans son rapport annuel :

  • 486 millions d’euros d’amendes cumulées
  • 331 contrôles formels réalisés (en hausse de 15 % par rapport à 2024)
  • 87 mises en demeure pour non-conformité des cookies
  • 42 sanctions prononcées par la formation restreinte
  • 68 sanctions prononcées par la procédure simplifiée
  • 16 100 plaintes déposées par des particuliers (record historique)

Ce qui a changé fondamentalement, c’est la cible des sanctions. Si les amendes les plus médiatisées concernent les géants du numérique (Amazon, Criteo, TikTok), la CNIL sanctionne désormais massivement les PME. 32 % des entreprises sanctionnées en 2025 étaient des TPE ou PME, soit près d’un tiers. La procédure simplifiée, conçue spécifiquement pour traiter rapidement les manquements des petites structures, y est pour beaucoup.

La procédure simplifiée : ce que ça change pour les PME

Depuis le décret du 8 avril 2022, la CNIL dispose d’une procédure de sanction simplifiée (articles 22-1 à 22-3 du décret n° 2019-536). Cette procédure permet au président de la formation restreinte de statuer seul, sans audience publique, pour les manquements considérés comme « ne présentant pas de difficulté particulière ».

Concrètement, cela signifie que la CNIL peut désormais sanctionner votre entreprise en quelques semaines, là où la procédure classique prenait 12 à 18 mois. Les amendes prononcées dans ce cadre sont plafonnées à 20 000 €, mais elles sont accompagnées d’une injonction de mise en conformité sous astreinte.

Chiffre clé : en 2025, la procédure simplifiée a représenté 62 % des sanctions prononcées par la CNIL. Le montant moyen était de 8 500 €, avec un maximum de 20 000 €. La plupart visaient des manquements liés aux cookies, à la politique de confidentialité ou au droit d’accès.

Les types de manquements traités en procédure simplifiée sont précisément ceux que l’on retrouve le plus souvent sur les sites de PME : absence de bandeau cookies conforme, cookies déposés avant consentement, politique de confidentialité absente ou incomplète, non-réponse à une demande de droit d’accès.

Top 10 des motifs de sanction CNIL

Voici les dix motifs de sanction les plus fréquents, classés par nombre de décisions :

  1. Non-conformité des cookies et traceurs (article 82 de la loi Informatique et Libertés) — Dépôt de cookies avant consentement, absence de bouton « Refuser », cases pré-cochées.
  2. Défaut d’information des personnes (articles 13 et 14 du RGPD) — Politique de confidentialité absente, incomplète ou incompréhensible.
  3. Non-respect du droit d’accès (article 15 du RGPD) — Absence de réponse à une demande d’accès dans le délai de 30 jours.
  4. Défaut de sécurité (article 32 du RGPD) — Mots de passe stockés en clair, absence de HTTPS, failles non corrigées.
  5. Durée de conservation excessive (article 5.1.e du RGPD) — Données clients conservées indéfiniment sans justification.
  6. Collecte excessive de données (article 5.1.c du RGPD) — Formulaires demandant plus de données que nécessaire.
  7. Absence de base juridique valide (article 6 du RGPD) — Traitement sans consentement ni intérêt légitime démontré.
  8. Défaut de notification de violation (article 33 du RGPD) — Non-signalement d’une fuite de données dans les 72 heures.
  9. Transferts hors UE non encadrés (articles 44 à 49 du RGPD) — Utilisation d’outils américains sans garanties adéquates.
  10. Prospection commerciale non conforme (article L. 34-5 du CPCE) — Emails commerciaux sans consentement préalable (B2C) ou sans mention de désinscription.

Montants des amendes par type d’infraction

Le RGPD prévoit deux paliers de sanctions (article 83) :

  • Palier 1 : jusqu’à 10 millions d’euros ou 2 % du CA mondial (registre, DPO, sécurité, notification de violation)
  • Palier 2 : jusqu’à 20 millions d’euros ou 4 % du CA mondial (consentement, droits des personnes, transferts, principes fondamentaux)

En pratique, pour les PME françaises, les montants observés sont les suivants :

  • Non-conformité cookies : 5 000 à 100 000 €
  • Absence de politique de confidentialité : 3 000 à 20 000 €
  • Défaut de sécurité : 10 000 à 150 000 €
  • Non-réponse au droit d’accès : 5 000 à 20 000 €
  • Prospection commerciale illicite : 10 000 à 50 000 €
  • Conservation excessive : 5 000 à 30 000 €

Attention : ces amendes sont rendues publiques. La CNIL publie systématiquement ses décisions sur son site et sur Legifrance. L’atteinte à la réputation peut coûter bien plus cher que l’amende elle-même.

Comment la CNIL détecte les infractions

La CNIL utilise plusieurs canaux pour identifier les sites non conformes :

Les contrôles automatisés

Depuis 2021, la CNIL a déployé des outils de contrôle automatisé des cookies et traceurs. Ces robots visitent des sites web et vérifient si des cookies non essentiels sont déposés avant tout consentement. En 2025, la CNIL a indiqué avoir scanné plus de 6 000 sites web avec ces outils. Les sites en infraction reçoivent d’abord une mise en demeure, puis une sanction en cas de non-correction.

Les plaintes de particuliers

Avec 16 100 plaintes en 2025, c’est le premier vecteur de déclenchement d’enquêtes. Un client mécontent, un salarié licencié, un concurrent vigilant : n’importe qui peut signaler un manquement à la CNIL en quelques clics sur le site cnil.fr. La CNIL s’est engagée à traiter chaque plainte dans un délai de 6 mois.

Les contrôles sur place et en ligne

La CNIL réalise des contrôles sur place (dans vos locaux), sur pièces (demande de documents), en ligne (vérification à distance de votre site), ou par convocation (à ses bureaux). Le contrôle en ligne est le plus utilisé pour les sites web : un agent de la CNIL visite votre site, analyse les cookies, teste les formulaires et vérifie la politique de confidentialité.

5 actions pour protéger votre PME

  1. Auditez votre site web — Faites un diagnostic complet de votre conformité RGPD. Identifiez les cookies, les traceurs, les formulaires et les pages manquantes. ConformeCheck réalise cet audit en 30 secondes.
  2. Mettez en place un bandeau cookies conforme — Utilisez une CMP (Consent Management Platform) certifiée comme Axeptio, Tarteaucitron ou Didomi. Assurez-vous qu’aucun script ne se charge avant le consentement.
  3. Rédigez votre politique de confidentialité — Complète, à jour, avec toutes les mentions exigées par les articles 13 et 14 du RGPD. Accessible en un clic depuis chaque page.
  4. Documentez vos traitements — Tenez un registre, même simplifié. Définissez des durées de conservation. Encadrez vos sous-traitants par des contrats conformes à l’article 28.
  5. Mettez en place un processus de gestion des droits — Désignez un référent interne. Créez une adresse email dédiée (dpo@votreentreprise.fr). Préparez des modèles de réponse pour chaque type de demande (accès, rectification, effacement, portabilité).