Les sanctions CNIL 2026 confirment une accélération nette de la répression. Au premier trimestre 2026, la CNIL a déjà prononcé plusieurs décisions majeures totalisant plus de 50 millions d’euros d’amendes, avec une attention particulière portée à l’intelligence artificielle, la sous-traitance et les transferts de données. Ce bilan analyse les tendances, les montants et les enseignements pratiques pour les responsables de traitement.
Points Clés
- La CNIL a prononcé 47 millions d’euros de sanctions au seul mois de janvier 2026, dont 42 millions pour Free et Free Mobile.
- L’intelligence artificielle et le scraping de données figurent parmi les nouvelles priorités de contrôle pour 2026.
- La procédure simplifiée permet désormais des amendes jusqu’à 20 000 euros, accélérant le traitement des dossiers courants.
- Les secteurs santé, télécoms et collectivités territoriales concentrent l’essentiel des contrôles annoncés.
Bilan chiffré du premier trimestre 2026
L’année 2025 s’est achevée sur un bilan record de 486,8 millions d’euros pour 83 sanctions, selon le rapport annuel de la CNIL publié en mars 2026. Ce volume dépasse largement les 89 millions d’euros de 2023 et les 55 millions de 2024 (hors coopération européenne).
Le premier trimestre 2026 prolonge cette dynamique. La décision la plus significative concerne Free et Free Mobile (Délibération n° SAN-2026-001, 15 janvier 2026) : 42 millions d’euros pour des manquements cumulés à la sécurité des données (Art. 32 RGPD), à l’information des personnes (Art. 13 RGPD) et à la durée de conservation (Art. 5(1)(e) RGPD). La violation de données avait exposé les IBAN de 5,1 millions de clients.
Début 2026, France Travail a été sanctionné à hauteur de 5 millions d’euros (Délibération n° SAN-2026-002, janvier 2026) pour des défauts de sécurisation ayant conduit à l’exfiltration des données de plus de 36 millions de personnes. Cette décision rappelle que les organismes publics sont soumis aux mêmes exigences que le secteur privé.
Secteurs visés : les priorités stratégiques 2026
La CNIL a publié sa feuille de route 2026 identifiant quatre axes prioritaires de contrôle.
Intelligence artificielle et données personnelles. Le déploiement massif de modèles d’IA générative utilisant des données personnelles pour l’entraînement constitue la première priorité. La CNIL a annoncé une série de contrôles sur la licéité des bases d’entraînement, le respect du droit d’opposition (Art. 21 RGPD) et la transparence de l’information (Art. 14 RGPD) lorsque les données sont collectées indirectement. Le précédent italien contre OpenAI (Garante, mars 2023) et l’action coordonnée du CEPD confirment cette tendance européenne.
Sous-traitance et chaînes de traitement. Les contrôles ciblent la conformité des contrats de sous-traitance au titre de l’Art. 28 RGPD et la capacité des responsables de traitement à auditer effectivement leurs prestataires. La sanction de 3,5 millions d’euros prononcée fin 2025 contre un éditeur pour transfert illicite de données vers un réseau social illustre ce risque.
Applications mobiles et traceurs. La CNIL poursuit sa campagne sur les cookies et traceurs, étendue aux SDK intégrés dans les applications mobiles. Les éditeurs d’applications doivent désormais documenter le consentement pour chaque SDK tiers transmettant des données personnelles.
Données de santé et télémédecine. Le secteur de la santé fait l’objet de contrôles renforcés portant sur les hébergements HDS, la gestion du consentement patient et le partage de données entre professionnels de santé.
Procédure de sanction CNIL : ce qui change en 2026
La procédure de sanction de la CNIL repose sur deux voies distinctes depuis la réforme de 2022.
La procédure ordinaire reste la voie pour les dossiers complexes ou à fort enjeu financier. Elle implique une instruction contradictoire, un rapport du rapporteur, des observations du mis en cause et une audience devant la formation restreinte. Le délai moyen est de 12 à 18 mois entre la mise en demeure et la décision.
La procédure simplifiée, instaurée par le décret n° 2022-517 du 8 avril 2022, permet au président de la formation restreinte de statuer seul pour les manquements ne présentant pas de difficulté particulière. Le plafond d’amende a été porté à 20 000 euros (contre 20 000 euros initialement, maintenu mais les cas éligibles ont été élargis). En 2025, 47 décisions sur 83 ont été rendues par cette voie, soit plus de 56 % des sanctions.
Pour les responsables de traitement, cette évolution signifie que les manquements courants – défaut de mentions d’information, absence de registre des traitements, cookies non conformes – sont désormais sanctionnés plus rapidement.
Tendances jurisprudentielles majeures
Plusieurs tendances se dégagent de l’analyse des décisions récentes.
Sécurité des données : le standard monte. La CNIL exige désormais explicitement le chiffrement des données sensibles en transit et au repos, l’authentification multifacteur pour les accès administrateurs et des tests d’intrusion réguliers. L’absence de ces mesures est considérée comme un manquement à l’Art. 32 RGPD, même en l’absence de violation effective.
Durées de conservation : tolérance zéro. Plusieurs sanctions du premier trimestre 2026 visent des organisations conservant des données clients pendant 5 à 10 ans sans justification documentée. La CNIL rappelle que la durée de conservation doit être proportionnée à la finalité et inscrite dans le registre.
Transferts internationaux sous surveillance. Suite à l’invalidation partielle du Privacy Shield et aux incertitudes persistantes sur le Data Privacy Framework EU-US, la CNIL a renforcé ses contrôles sur les garanties appropriées au sens de l’Art. 46 RGPD (clauses contractuelles types, règles d’entreprise contraignantes).
Base légale pour la prospection. La distinction entre B2B et B2C, entre opt-in et intérêt légitime, continue de générer des sanctions. La CNIL a sanctionné à plusieurs reprises des entreprises invoquant l’intérêt légitime (Art. 6(1)(f) RGPD) pour de la prospection commerciale sans avoir réalisé le test de balance des intérêts requis.
Recommandations pour anticiper les contrôles
Pour les organisations souhaitant se préparer aux contrôles 2026, voici les actions prioritaires.
Auditer le registre des traitements. Vérifier l’exhaustivité, les bases légales et les durées de conservation pour chaque traitement. La CNIL commence systématiquement ses contrôles par l’examen du registre au titre de l’Art. 30 RGPD.
Contrôler la chaîne de sous-traitance. S’assurer que chaque sous-traitant dispose d’un DPA conforme et que les audits contractuels prévus sont effectivement réalisés.
Mettre à jour la politique de cookies. Les lignes directrices CNIL de 2020 et la recommandation de 2023 restent le référentiel. Les bannières de type “dark pattern” (refus rendu plus difficile que l’acceptation) sont spécifiquement ciblées.
Documenter la conformité IA. Si votre organisation déploie des systèmes d’IA traitant des données personnelles, documentez la base légale, l’analyse d’impact (Art. 35 RGPD) et les mesures de transparence. La CNIL a publié en 2024 ses recommandations sur l’IA et les données personnelles.
La conformité RGPD n’est pas un exercice ponctuel. Les sanctions CNIL 2026 montrent que les autorités attendent une gouvernance continue, documentée et auditable. Legiscope automatise la mise à jour du registre, l’audit des sous-traitants et le suivi des durées de conservation pour réduire ce risque.
FAQ
Quel est le montant maximal d’une sanction CNIL ?
L’Art. 83 RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, la CNIL a prononcé des amendes allant jusqu’à 150 millions d’euros (Google, décembre 2021, Délibération n° SAN-2021-023) pour des manquements relatifs aux cookies.
Comment se déroule un contrôle CNIL ?
Un contrôle CNIL peut prendre quatre formes : sur place, sur pièces (demande de documents), en ligne ou sur audition. Le contrôle sur place est réalisé par des agents habilités de la CNIL qui peuvent accéder aux locaux, aux équipements et à tout document pertinent. L’organisation contrôlée doit coopérer sous peine de délit d’entrave (Art. 51 de la loi Informatique et Libertés).
La procédure simplifiée peut-elle concerner les grandes entreprises ?
Oui. La procédure simplifiée n’est pas limitée par la taille de l’organisation mais par la nature du manquement. Un manquement simple (défaut de mentions d’information, absence de réponse à une demande de droit d’accès) peut être traité par cette voie même pour une grande entreprise. Cependant, l’amende est plafonnée à 20 000 euros dans ce cadre.
Les sanctions CNIL sont-elles publiques ?
La formation restreinte peut décider de rendre publique la sanction, ce qui constitue une mesure complémentaire à l’amende. En pratique, la majorité des sanctions significatives sont publiées sur le site de la CNIL et sur Légifrance. Cette publicité a un effet dissuasif majeur, notamment pour les entreprises soucieuses de leur réputation.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
