Data Privacy

Contrôle CNIL : procédure d'inspection 2026 et droits

Contrôle CNIL : procédure d'inspection, droits et obligations, sanctions 2024-2025, comment se préparer. Guide complet 2026.

TD
Dr. Thiébaut Devergranne
23 mai 20267 min read

En une phrase. La CNIL a réalisé 340 contrôles en 2024 (rapport annuel 2024) selon quatre modalités : sur place (visite physique), sur pièces (documents demandés à distance), en ligne (navigation automatisée d’un site web), et sur audition (convocation dans les locaux de la CNIL). Tout responsable de traitement peut faire l’objet d’un contrôle, sans préavis. La procédure peut conduire à une mise en demeure (340 en 2024) ou à une sanction (87 en 2024, pour un total de 89 millions d’euros). Connaître ses droits et obligations en cours d’inspection est déterminant.

Les thématiques prioritaires CNIL 2024-2025 sont : sécurité des données de santé, applications mobiles, mineurs en ligne, intelligence artificielle, programmes de fidélité. L’entreprise contrôlée a le droit d’être assistée par un conseil, de demander la communication des constats, et de contester. Elle a l’obligation de coopérer (article 19 LIL) — l’obstruction est sanctionnée pénalement.

Pour la préparation : audit RGPD, registre des traitements, article 6 RGPD.

Points clés

  • 4 types de contrôles : sur place, sur pièces, en ligne, sur audition.
  • 340 contrôles en 2024 et 87 sanctions pour 89 M€ cumulés.
  • Pas de préavis pour le contrôle sur place — sauf cas exceptionnels.
  • Droits : assistance d’un conseil, communication des constats, observations.
  • Obligations : coopérer, fournir tous les documents demandés, ne pas faire obstacle.

1. Bases légales du contrôle CNIL

  • Articles 19 à 22 LIL : pouvoirs d’enquête et de contrôle
  • Article 58 RGPD : pouvoirs d’investigation des autorités de contrôle
  • Décret n° 2019-536 du 29 mai 2019 : procédure de contrôle
  • Règlement intérieur CNIL : modalités pratiques

Le contrôle est confié à des agents habilités de la CNIL, qui peuvent être assistés d’experts.

2. Les 4 types de contrôles

Type Description Volume 2024
Sur place Visite physique, sans préavis ~130
Sur pièces Demande écrite de documents ~80
En ligne Navigation automatisée (cookies, mentions) ~110
Sur audition Convocation des dirigeants/DPO à la CNIL ~20

Le contrôle en ligne s’est imposé pour les cookies, dark patterns, applications mobiles.

3. Sélection des cibles

La CNIL choisit ses cibles selon :

  • Programme annuel publié (thématiques prioritaires)
  • Plaintes reçues (10 000+ par an depuis 2020)
  • Notifications de violation suggérant un dysfonctionnement
  • Articles de presse révélant des manquements
  • Signalement par d’autres autorités (CSA-Arcom, AMF, ANSSI)
  • Décision politique suite à un scandale public

En 2024, environ 60 % des contrôles font suite à une plainte ou un signalement, 40 % au programme thématique.

4. Le contrôle sur place : déroulé

Étapes typiques :

  1. Arrivée des inspecteurs (généralement 2-4 personnes, sans préavis)
  2. Présentation des mandats et de la décision du Président de la CNIL
  3. Réunion d’ouverture : présentation du périmètre, désignation des interlocuteurs
  4. Demande des documents : registre, AIPD, contrats sous-traitants, politiques, journaux d’accès
  5. Entretiens avec DPO, DSI, métiers
  6. Inspection technique éventuelle : postes de travail, serveurs, applications
  7. Réunion de clôture : restitution orale des constats principaux
  8. Procès-verbal de contrôle signé sur place ou envoyé sous 8 jours

Durée typique : 1 à 5 jours selon la taille et la complexité.

5. Droits du responsable contrôlé

  • Présence d’un avocat ou conseil (article 19 LIL)
  • Demande de copie des documents emportés
  • Refus d’accès à des locaux à usage privé (sauf autorisation du juge des libertés)
  • Communication du PV de contrôle
  • Observations écrites dans un délai imparti (généralement 1 mois)
  • Accès au dossier en phase contentieuse

6. Obligations du responsable contrôlé

  • Coopérer avec les agents (article 19 LIL)
  • Fournir les documents demandés (papier ou numérique)
  • Autoriser l’accès aux locaux professionnels en heures ouvrables
  • Ne pas faire obstacle (sanction pénale : 1 an d’emprisonnement, 15 000 € — article 226-22-2 Code pénal)
  • Ne pas alerter les personnes susceptibles d’être concernées (obstacle à l’enquête)

7. Documents systématiquement demandés

Top 12 des documents à préparer :

  1. Registre des traitements
  2. Politique de confidentialité (toutes versions)
  3. AIPD (toutes)
  4. Contrats sous-traitants (DPA)
  5. Procédure droits des personnes (formulaires + journal)
  6. Registre des violations
  7. Désignation et lettre de mission du DPO
  8. Politiques internes (sécurité, charte IT)
  9. PSSI et plan de continuité
  10. Politique de mots de passe et journalisation des accès
  11. Mentions d’information sur formulaires
  12. Bandeau cookies et preuves de consentement

Tout document non remis = manquement aggravant.

8. Suites du contrôle

Trois issues possibles :

Classement sans suite

Conformité satisfaisante, ou manquements mineurs corrigés. ~30 % des contrôles.

Mise en demeure

Notification de manquements avec délai pour se mettre en conformité (1 à 6 mois généralement). 340 mises en demeure en 2024. Non-respect = sanction.

Sanction (procédure formelle)

Procédure devant la formation restreinte de la CNIL (5 membres). Audition contradictoire, décision motivée. 87 sanctions en 2024.

9. Types de sanctions CNIL

Sanction Texte Exemple
Avertissement Art. 20 III LIL Manquement de moindre gravité
Mise en demeure Art. 20 II LIL Avec délai de mise en conformité
Amende administrative Art. 20 III LIL Jusqu’à 20 M€ ou 4% CA mondial
Injonction Art. 20 III LIL Cesser ou modifier un traitement
Suspension de flux Art. 20 III LIL Vers pays tiers notamment
Publication Art. 20 III LIL Sur site CNIL + JO + presse

10. Sanctions CNIL marquantes 2024-2025

Date Entité Montant Motif
Sept. 2024 Cdiscount 1 500 000 € Cookies, sécurité
Mai 2024 Plateforme paris en ligne 5 000 000 € Sécurité défaillante
2024 Société de recouvrement 600 000 € Information, conservation
Janv. 2025 Délibération multi-acteurs Cumul 4 M€ Marketing direct
2025 Acteur santé majeur 2 000 000 € Sécurité, sous-traitance

Le rapport annuel 2024 mentionne 89 M€ de sanctions, en baisse par rapport à 2023 (sans Amazon/Google), mais en hausse en nombre.

11. Préparation à un contrôle CNIL

Check-list immédiate :

  • [ ] Registre des traitements à jour < 12 mois
  • [ ] AIPD réalisées pour traitements à risque
  • [ ] Contrats sous-traitants signés (DPA conformes article 28)
  • [ ] Politique de confidentialité actualisée
  • [ ] Procédure droits des personnes documentée
  • [ ] Registre des violations même si vide
  • [ ] DPO formé et opérationnel (lettre de mission)
  • [ ] PSSI à jour
  • [ ] Bandeau cookies conforme aux lignes directrices 2020
  • [ ] Audit RGPD < 24 mois
  • [ ] Plan de réponse à un contrôle (qui fait quoi, contacts)

12. Que faire si un contrôle commence demain ?

Réflexes immédiats :

  1. Prévenir la direction et le DPO
  2. Convoquer l’avocat spécialisé RGPD si disponible
  3. Identifier le mandat et le périmètre exact
  4. Mobiliser DSI, RH, métiers concernés
  5. Préparer le registre et les pièces clés (sortie papier ou clé USB)
  6. Désigner UN interlocuteur principal pour les inspecteurs
  7. Documenter le déroulé (note interne en parallèle)
  8. Refuser de signer un PV non conforme à ce qui s’est dit (mention “sous réserve”)
  9. Demander copie des documents emportés
  10. Préparer les observations écrites sous le délai imparti

FAQ

La CNIL peut-elle débarquer sans préavis ?

Oui pour le contrôle sur place. Le décret du 29 mai 2019 prévoit l’absence de préavis sauf cas exceptionnels. La visite a lieu pendant les heures ouvrables. Les agents présentent leur mandat à l’arrivée.

Combien de temps dure un contrôle CNIL ?

Sur place : 1 à 5 jours selon la complexité. Sur pièces : 2 semaines à 3 mois entre la demande et la fourniture. Procédure complète (du contrôle à la décision/sanction) : 12 à 24 mois en moyenne.

Puis-je refuser un contrôle CNIL ?

Non. L’article 19 LIL impose la coopération. Refuser l’accès, ne pas fournir les documents demandés, ou alerter des tiers susceptibles d’être concernés constitue un délit pénal (1 an d’emprisonnement, 15 000 € — article 226-22-2 Code pénal). Le contrôle peut toutefois être encadré (vie privée, secret professionnel).

Quelle est la sanction maximale CNIL ?

20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (article 83 §5 RGPD). En pratique : 150 M€ Google (2021), 60 M€ Facebook (2021), 50 M€ Google (2019), 35 M€ Amazon Europe Core (2022), 32 M€ Spotify via DPC (2023).

Ai-je le droit à un avocat pendant le contrôle ?

Oui. L’article 19 LIL prévoit explicitement la possibilité d’être assisté par un avocat ou un conseil pendant les opérations de contrôle. Cette assistance est fortement recommandée pour les contrôles sur place. L’avocat peut faire mentionner ses observations au PV.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →