Ces 5 pratiques courantes qui déclenchent un contrôle CNIL

Comment fonctionne un contrôle CNIL ?

La CNIL dispose de plusieurs leviers pour déclencher un contrôle. Contrairement à une idée reçue, elle ne cible pas les entreprises au hasard. Voici les principaux déclencheurs :

• Les plaintes : toute personne peut signaler un manquement au RGPD. En 2024, 14 des 16 sanctions simplifiées prononcées avaient pour origine une plainte.
• Les signalements de violation de données : 5 629 notifications de failles en 2024, soit +20% par rapport à 2023.
• Les thématiques prioritaires : chaque année, la CNIL définit des axes de contrôle (applications mobiles, cybersécurité des collectivités, administration pénitentiaire en 2025).
• L'actualité : une affaire médiatisée peut déclencher une vague de contrôles dans un secteur.
• Les mesures de suivi : vérification du respect d'une précédente mise en demeure ou injonction.

Les contrôles peuvent se dérouler sur place, sur pièces (demande de documents), en ligne ou sur audition. Et les conséquences peuvent être lourdes : en 2025, le montant cumulé des amendes a atteint 487 millions d'euros, un record absolu.

Pratique n°1 : Ignorer les demandes d'exercice des droits

C'est le motif de plainte numéro un. 37% des plaintes reçues par la CNIL en 2024 concernaient le non-respect du droit à l'effacement. Les demandes d'accès, d'opposition et de rectification génèrent également un flux constant de réclamations.

Pourquoi c'est risqué

Les personnes ont le droit de demander :

• L'accès à leurs données (article 15 RGPD)
• L'effacement de leurs données (article 17 RGPD)
• L'opposition au traitement, notamment pour la prospection (article 21 RGPD)
• La rectification des données inexactes (article 16 RGPD)

Vous devez répondre dans un délai d'un mois maximum. Passé ce délai, la personne peut saisir la CNIL. Et si vous ne répondez pas non plus aux sollicitations de la CNIL, vous cumulez les manquements.

Les sanctions récentes

En 2024, 23 décisions de sanction ont concerné le non-respect des droits des personnes, dont 16 pour le seul droit d'accès. En 2025, 14 organismes ont été sanctionnés pour ne pas avoir pris en compte des demandes d'effacement, d'opposition ou d'accès.

L'action coordonnée européenne de 2025 sur le droit à l'effacement a mis en lumière un problème récurrent : l'absence de procédures internes pour traiter ces demandes. Beaucoup d'entreprises n'ont tout simplement jamais réfléchi à comment répondre à une demande de suppression avant d'en recevoir une.

Pratique n°2 : Vidéosurveiller les salariés de façon excessive

La surveillance des salariés est un sujet explosif. En 2025, 16 organismes ont été sanctionnés pour non-respect des règles en matière de vidéosurveillance au travail. Ce chiffre est en hausse constante.

Ce qui est interdit

La CNIL rappelle régulièrement les lignes rouges :

• Filmer en continu les postes de travail (caisses, bureaux) sans justification exceptionnelle
• Installer des caméras dissimulées sans circonstances exceptionnelles documentées
• Filmer les locaux syndicaux ou leur accès
• Surveiller les espaces de pause ou les sanitaires
• Ne pas informer les salariés de l'existence et de la finalité du dispositif

Le principe est simple : la surveillance vidéo permanente des salariés constitue une atteinte à leur vie privée, sauf circonstances exceptionnelles liées à la sécurité ou à la lutte contre le vol.

Les sanctions récentes

La Samaritaine (septembre 2025) : 100 000€ d'amende pour avoir dissimulé des caméras dans les réserves du magasin.

Un établissement scolaire (2025) : sanctionné pour avoir filmé les élèves en continu pendant les petits-déjeuners et dans le préau.

Une société pharmaceutique et un hôpital (2025) : sanctionnés pour avoir filmé l'accès et l'entrée d'un local syndical.

La géolocalisation des véhicules professionnels pose les mêmes problèmes : elle doit être justifiée, proportionnée, et les salariés doivent être informés.

Pratique n°3 : Prospection commerciale sans consentement

Les emails et SMS non sollicités restent une source majeure de plaintes. En 2025, 10 décisions de sanction ont porté sur la prospection commerciale ou politique. Et les amendes peuvent être colossales.

Les règles à respecter

Pour envoyer de la prospection commerciale par voie électronique (email, SMS, notification push), vous devez :

• Obtenir le consentement préalable de la personne (opt-in)
• OU vous adresser à un client existant pour des produits similaires (soft opt-in)
• Permettre un désabonnement facile dans chaque message
• Respecter le droit d'opposition sans délai

Si vous utilisez des données fournies par des courtiers en données (data brokers) ou des partenaires, vous devez vous assurer que le consentement a été valablement recueilli à l'origine. La CNIL rappelle systématiquement qu'une clause contractuelle ne suffit pas : vous devez vérifier la licéité de la collecte initiale.

Les sanctions récentes

Google (septembre 2025) : 325 millions d'euros pour avoir affiché des publicités entre les emails des utilisateurs Gmail sans leur accord.

Shein (septembre 2025) : 150 millions d'euros pour utilisation illicite des données clients.

Orange (2024) : 50 millions d'euros pour prospection commerciale sans consentement.

Hubside.Store (avril 2024) : 525 000€ pour avoir utilisé des données fournies par des courtiers sans vérifier que les personnes avaient consenti.

5 candidats aux élections 2024 : sanctionnés en décembre 2025 pour prospection politique illicite.

Le cas des jeux-concours

Une pratique fréquemment sanctionnée : collecter des données via des jeux-concours pour les utiliser en prospection. En 2025, la CNIL a sanctionné une société dont les formulaires mettaient en valeur l'option d'acceptation des offres promotionnelles, laissant croire que c'était le seul moyen de valider la participation. Le consentement n'était donc pas libre et éclairé.

Pratique n°4 : Bannière cookies non conforme

Cinq ans après la publication de ses recommandations sur les cookies, la CNIL continue de prononcer des sanctions massives sur ce sujet. En 2024, 40 contrôles en ligne ont spécifiquement ciblé les bandeaux de consentement. Et les amendes atteignent des sommets.

Ce que vérifie la CNIL

Les exigences sont claires :

• Refuser aussi facilement qu'accepter : un bouton "Tout refuser" au même niveau que "Tout accepter"
• Pas de dépôt avant consentement : les traceurs publicitaires ne peuvent être activés avant l'accord de l'utilisateur
• Information claire : finalités précises, identité des destinataires
• Pas de dark patterns : formulations trompeuses, couleurs incitatives, parcours décourageants pour refuser
• Consentement renouvelé : tous les 6 mois selon les recommandations CNIL

Les sanctions records

Google (septembre 2025) : 325 millions d'euros — en plus de la prospection, Google a été sanctionné pour ses pratiques de cookies sur ses services.

Shein (septembre 2025) : 150 millions d'euros — mêmes motifs combinés.

11 organismes en 2024 : sanctionnés pour ne pas avoir permis de refuser les cookies aussi simplement que de les accepter.

Ces sanctions record montrent que la CNIL considère désormais que les grandes plateformes ne peuvent plus ignorer les règles après tant d'années de communication sur le sujet.

Pratique n°5 : Failles de sécurité des données

La sécurité des données est devenue le premier motif de sanction dans le cadre de la procédure simplifiée. En 2025, 14 organismes ont été sanctionnés pour sécurisation insuffisante. Et les violations de données explosent : 5 629 notifications en 2024, soit +20% en un an.

Les manquements les plus fréquents

La CNIL constate régulièrement :

• Mots de passe insuffisamment robustes : trop courts, sans complexité, jamais renouvelés
• Comptes partagés entre utilisateurs : impossibilité de tracer qui a fait quoi
• Absence d'authentification à double facteur sur les accès sensibles
• Accès non restreints : tout le monde peut accéder à tout
• Données conservées trop longtemps : la volumétrie augmente le risque en cas de fuite
• Absence de chiffrement des données sensibles

Les sanctions récentes

Free Mobile + Free (janvier 2026) : 42 millions d'euros cumulés suite à une violation de données ayant généré 2 614 plaintes. La CNIL a retenu l'authentification VPN insuffisamment robuste, la détection inefficace des comportements anormaux et la conservation excessive des données.

France Travail (janvier 2026) : 5 millions d'euros pour ne pas avoir assuré la sécurité des données des demandeurs d'emploi.

Nexpublica (2025) : 1,7 million d'euros pour sécurité insuffisante de son logiciel.

Mobius Solutions (février 2026) : 1 million d'euros — ce sous-traitant avait conservé des données après la fin du contrat avec son client et ne tenait pas de registre des traitements.

Les sous-traitants aussi visés

La CNIL rappelle que les sous-traitants ont des obligations propres :

• Mettre en œuvre des mesures de sécurité appropriées
• Ne traiter les données que sur instruction du responsable de traitement
• Supprimer les données à la fin de la relation contractuelle
• Tenir un registre des traitements

Le sous-traitant ne peut plus se retrancher derrière le responsable de traitement. La sanction Mobius Solutions en est l'illustration parfaite.

Bonus : Ne pas coopérer avec la CNIL

Ce n'est pas une pratique "métier", mais c'est l'un des manquements les plus sanctionnés. En 2024, 27 organismes ont été sanctionnés pour défaut de coopération avec la CNIL. En 2025, ce chiffre reste à 14 organismes.

L'article 18 de la loi Informatique et Libertés est clair : vous ne pouvez pas vous opposer à l'action de la CNIL et devez prendre toutes mesures utiles pour faciliter sa tâche.

Concrètement, si la CNIL vous écrit suite à une plainte et que vous ne répondez pas, vous commettez un manquement en plus du manquement initial. C'est la double peine garantie.

Des avocats, médecins et sociétés ont été sanctionnés en 2025 simplement pour n'avoir pas répondu aux sollicitations de la CNIL dans le cadre de l'instruction de plaintes.

Comment éviter de déclencher un contrôle

La plupart des contrôles CNIL font suite à des plaintes. La meilleure façon d'éviter un contrôle est donc de traiter correctement les demandes des personnes concernées avant qu'elles ne saisissent la CNIL.

Checklist de prévention

Droits des personnes

• Mettre en place une procédure de traitement des demandes
• Respecter le délai d'un mois
• Documenter les réponses apportées
• Former les équipes concernées

Vidéosurveillance

• Limiter les zones filmées au strict nécessaire
• Informer les salariés et afficher des panneaux
• Ne pas conserver les images plus de 30 jours
• Documenter la justification du dispositif

Prospection commerciale

• Vérifier l'origine des bases de données utilisées
• Recueillir un consentement clair et spécifique
• Permettre un désabonnement facile
• Traiter les oppositions sans délai

Cookies

• Proposer un refus aussi simple que l'acceptation
• Ne pas déposer de traceurs avant consentement
• Informer clairement sur les finalités
• Vérifier la conformité de votre bandeau régulièrement

Sécurité

• Imposer des mots de passe robustes
• Mettre en place l'authentification à double facteur
• Limiter les accès au strict nécessaire
• Supprimer les données obsolètes

Votre politique de confidentialité : la première ligne de défense

Une politique de confidentialité bien rédigée remplit plusieurs fonctions :

• Elle informe les personnes de leurs droits et de comment les exercer
• Elle documente vos pratiques pour la CNIL en cas de contrôle
• Elle prévient les plaintes en donnant des réponses aux questions fréquentes

RGPDKit génère automatiquement une politique de confidentialité complète et conforme, adaptée à votre activité. En quelques minutes, vous disposez d'un document qui couvre tous les points vérifiés par la CNIL : finalités, bases légales, durées de conservation, droits des personnes, cookies...

Générez votre politique de confidentialité dès maintenant, ou découvrez nos formules pour bénéficier du scan automatique de votre site.

En résumé

Les 5 pratiques qui attirent le plus la CNIL en 2026 sont :

1. Ignorer les demandes de droits (effacement, accès, opposition) — 37% des plaintes
2. Vidéosurveiller les salariés de façon excessive — 16 sanctions en 2025
3. Prospection commerciale sans consentement — jusqu'à 325M€ d'amende
4. Bannières cookies non conformes — contrôles systématiques
5. Failles de sécurité des données — premier motif de sanction simplifiée

À cela s'ajoute le défaut de coopération avec la CNIL, qui transforme une situation problématique en catastrophe certaine.

La bonne nouvelle : la plupart de ces manquements sont évitables avec des procédures simples et une politique de confidentialité claire. La CNIL privilégie la mise en conformité à la sanction punitive. Mais encore faut-il répondre à ses sollicitations et démontrer sa bonne foi.

En 2025, le montant total des amendes a atteint 487 millions d'euros. Un record qui montre que la CNIL a les moyens de ses ambitions. Ne soyez pas le prochain sur la liste.