La CNIL contrôle-t-elle les petites entreprises ?

Oui. En 2025, 32% des entreprises sanctionnées par la CNIL étaient des TPE ou PME. La procédure simplifiée de la CNIL cible spécifiquement les manquements courants des petites structures (bandeau cookies, politique de confidentialité manquante).

Comment la CNIL choisit-elle les entreprises à contrôler ?

La CNIL déclenche des contrôles suite à des plaintes (16 100 en 2025), des signalements, une veille internet, ou des thématiques prioritaires annuelles. Les sites avec des manquements visibles (absence de bandeau cookies, traceurs avant consentement) sont facilement repérés.

Peut-on recevoir un avertissement avant une amende ?

Oui. La CNIL privilégie souvent la mise en demeure (délai de correction) avant la sanction. Cependant, la procédure simplifiée permet de prononcer directement des amendes jusqu'à 20 000 € pour des manquements évidents, sans mise en demeure préalable.

Les 10 erreurs qui déclenchent un contrôle CNIL

Name: Rapport de conformité ConformCheck
Brand: ConformCheck
Price: 29 EUR
Availability: InStock

La CNIL ne contrôle pas au hasard. Certaines erreurs, visibles depuis l’extérieur, attirent immédiatement l’attention des contrôleurs. En 2025, 32 % des entreprises sanctionnées étaient des TPE ou PME. Voici les 10 manquements qui vous exposent le plus à un contrôle.

1. Traceurs chargés avant le consentement

C’est l’erreur n°1 détectée par la CNIL. Google Analytics, Meta Pixel ou Hotjar qui s’exécutent dès le chargement de la page, avant que l’utilisateur n’ait donné son consentement. La CNIL dispose d’outils automatisés pour détecter ce manquement à grande échelle.

Risque : jusqu’à 150 000 €

2. Bandeau cookies non conforme

Un bandeau sans bouton « Refuser » visible, avec des cases pré-cochées, ou un bouton refuser grisé et plus petit que le bouton accepter. La CNIL a envoyé 87 mises en demeure en 2025 sur ce seul sujet.

Risque : jusqu’à 20 000 € (procédure simplifiée)

3. Politique de confidentialité absente ou incomplète

40 % des sites de PME n’ont pas de politique de confidentialité ou affichent une version générique copiée sur internet qui ne correspond pas à leurs traitements réels. C’est un manquement à l’obligation de transparence (articles 13-14 du RGPD).

Risque : jusqu’à 20 000 €

4. Formulaires sans mention d’information

Un formulaire de contact qui collecte nom, email et téléphone sans aucune mention d’information (qui collecte, pourquoi, quels droits) constitue une collecte illicite de données personnelles.

Risque : mise en demeure + amende

5. Absence de mentions légales

L’absence de mentions légales est un délit (article 6-VI de la LCEN). C’est souvent le premier signal vérifié lors d’un contrôle car il est visible instantanément.

Risque : jusqu’à 375 000 €

6. Site sans HTTPS

L’absence de chiffrement HTTPS est un manquement à l’obligation de sécurité (article 32 du RGPD). En 2026, c’est inexcusable alors que les certificats SSL sont gratuits (Let’s Encrypt).

Risque : mise en demeure

7. Plainte d’un utilisateur

16 100 plaintes reçues en 2025. Quand un utilisateur se plaint à la CNIL (demande d’effacement ignorée, spam, données vendues), la CNIL ouvre systématiquement un dossier. C’est le déclencheur le plus fréquent de contrôle.

Risque : enquête complète

8. Durées de conservation non définies

Conserver des données personnelles « indéfiniment » ou sans durée justifiée est un manquement au principe de limitation de la conservation. La CNIL vérifie systématiquement ce point.

Risque : mise en demeure + amende

9. Transferts hors UE non encadrés

Utiliser des outils américains (Google, Mailchimp, HubSpot) sans vérifier les garanties de transfert (EU-US DPF, clauses contractuelles types) est un manquement grave depuis l’arrêt Schrems II.

Risque : jusqu’à 4 % du CA

10. Non-réponse aux demandes de droits

Ignorer une demande d’accès, de rectification ou d’effacement est le moyen le plus sûr de déclencher une plainte CNIL. Le délai de réponse est de 30 jours maximum (article 12 du RGPD).

Risque : plainte + contrôle

Comment éviter ces erreurs ?

ConformCheck vérifie automatiquement la majorité de ces points en 30 secondes : cookies avant consentement, bandeau conforme, politique de confidentialité, mentions légales, HTTPS, en-têtes de sécurité. Le scan est gratuit. Le rapport complet (29 €) vous donne les solutions pas à pas pour chaque problème détecté.