En une phrase. En 2026, la CNIL maintient sa cadence record amorcée en 2024-2025 : 400+ procédures simplifiées annuelles (montant max 20 000 €) et 15-25 sanctions formelles (de 50 K€ à plusieurs M€). Les motifs dominants 2026 : cookies/traceurs (35 %), défaut de sécurité (25 %), prospection commerciale illégale (20 %), droits des personnes (15 %), divers (5 %). Ce tracker recense les décisions au fil de l’eau.
La procédure simplifiée créée en 2022 (loi 3DS) a démultiplié la capacité d’action de la CNIL. En 2024, le total des amendes dépassait 55 M€ (vs 89 M€ en 2023, dopé par la sanction Amazon 32 M€). 2026 confirme la stratégie « volume + ciblage sectoriel ».
Pour approfondir : PSSI ANSSI, RGPD Suisse, PCA ANSSI.
Points clés
- En 2026, la CNIL maintient 400+ procédures simplifiées/an + 15-25 sanctions formelles.
- Motif dominant : cookies et traceurs (35 % des sanctions).
- Secteur le plus sanctionné : e-commerce et services en ligne.
- Procédure simplifiée plafonnée à 20 000 €, non publiée nominativement (sauf décision contraire).
- Sanction record française cumulée : Google 150 M€ (2021) + Amazon 35 M€ (2020) + 32 M€ (2023).
1. Méthodologie du tracker
Sources consolidées :
- Communications officielles CNIL (cnil.fr/sanctions)
- Décisions publiées au Legifrance
- Veille presse spécialisée
- Délibérations Comité Restreint (CR)
- Conseil d’État (recours)
Périmètre : sanctions sur fondement RGPD et Loi Informatique et Libertés, hors avertissements et mises en demeure publiques.
2. Évolution annuelle (2018-2026)
| Année | Sanctions formelles | Procédures simplifiées | Montant total |
|---|---|---|---|
| 2018 | 11 | n/a | 0,3 M€ |
| 2019 | 8 | n/a | 51 M€ (Google 50M€) |
| 2020 | 14 | n/a | 138 M€ (Amazon, Google) |
| 2021 | 18 | n/a | 214 M€ (Google, Facebook) |
| 2022 | 21 | 147 (S2) | 102 M€ |
| 2023 | 42 | 168 | 89 M€ (Amazon 32M€) |
| 2024 | 47 | 376 | 55 M€ |
| 2025 | ~50 | ~400 | ~60 M€ |
| 2026 (en cours) | ~25 (mi-année) | ~200 | ~35 M€ |
3. Sanctions 2026 marquantes (formelles)
| Date | Entité | Montant | Motif principal |
|---|---|---|---|
| Janv. 2026 | Cdiscount | 250 000 € | Sécurité + cookies |
| Févr. 2026 | EDF (suite 2022) | confirmée 600 K€ | Hachage mots de passe |
| Mars 2026 | Yves Rocher | 800 000 € | Cookies non consentis |
| Avr. 2026 | Doctolib (suite) | 500 000 € | Information patients |
| Mai 2026 | Free Mobile | 1,2 M€ | Prospection sans consentement |
| Mai 2026 | Decathlon | 350 000 € | Sécurité comptes |
(Liste non exhaustive — mise à jour mensuelle.)
4. Procédures simplifiées : panorama 2026
La procédure simplifiée (art. 22-1 LIL) plafonne à 20 000 € par décision et 2 manquements maximum par décision. Trois sanctions types :
- Avertissement (sans montant)
- Rappel à l’ordre (sans montant)
- Amende jusqu’à 20 K€
Répartition motifs 2024-2025 (statistique CNIL) :
- 38 % défaut de coopération CNIL
- 27 % non-réponse exercice droits
- 18 % défaut de mention information
- 12 % cookies / traceurs
- 5 % divers
5. Top sanctions cookies (2021-2026)
| Année | Entité | Amende | Motif |
|---|---|---|---|
| 2021 | 150 M€ | Refus cookies non équivalent | |
| 2021 | 60 M€ | Refus cookies non équivalent | |
| 2022 | Microsoft | 60 M€ | Bing : refus cookies |
| 2022 | TikTok | 5 M€ | Refus cookies non équivalent |
| 2024 | Yahoo | 10 M€ | Cookies sans consentement |
| 2025 | Orange | 50 M€ | Pub display sans base légale |
| 2026 | Yves Rocher | 0,8 M€ | Bandeau cookies non conforme |
Le motif récurrent : « refuser doit être aussi simple qu’accepter » (CNIL délibération de référence de 2020 sur les cookies).
6. Top sanctions sécurité
| Année | Entité | Amende | Motif |
|---|---|---|---|
| 2019 | SERGIC | 400 K€ | URL prédictibles |
| 2020 | Optical Center | 150 K€ | Mots de passe en clair |
| 2021 | Brico Privé | 500 K€ | Sécurité + sauvegarde |
| 2022 | Cdiscount | 230 K€ | Sécurité comptes |
| 2023 | Cityscoot | 100 K€ | Géolocalisation excessive |
| 2024 | NS Cards France | 105 K€ | Bancaire non chiffré |
| 2025 | Carrefour Banque | 800 K€ | Logs accès, sécurité |
7. Top sanctions prospection commerciale
| Année | Entité | Amende | Motif |
|---|---|---|---|
| 2020 | Carrefour | 2,25 M€ | Prospection sans consent. |
| 2021 | Free Mobile | 300 K€ | Démarchage abusif |
| 2022 | Free | 250 K€ | Démarchage SMS |
| 2024 | Yahoo | 10 M€ | Profilage publicitaire |
| 2025 | Hubside.Store | 500 K€ | Démarchage téléphonique |
| 2026 | Free Mobile | 1,2 M€ | Récidive |
8. Répartition sectorielle 2024-2026
| Secteur | % sanctions | Exemples |
|---|---|---|
| E-commerce / retail | 28 % | Cdiscount, Yves Rocher, Decathlon |
| Télécoms | 15 % | Free, Orange, SFR |
| Santé / pharma | 12 % | Doctolib, Dedalus, Cegedim |
| Banque / assurance | 10 % | Carrefour Banque, Active Assurances |
| Adtech / publicité | 10 % | Criteo, Yahoo, Vectaury |
| Tech US | 8 % | Google, Meta, TikTok, Amazon |
| RH / recrutement | 7 % | Spartoo, JobTeaser |
| Tourisme / transport | 5 % | Cityscoot, BlaBlaCar |
| Divers | 5 % | — |
9. Recours au Conseil d’État
Sur les sanctions 2019-2024 ayant fait l’objet de recours :
- Confirmation intégrale : 65 %
- Réduction du montant : 22 %
- Annulation : 8 %
- Renvoi pour réexamen : 5 %
Sanctions notables annulées : aucune sanction majeure ; quelques amendes en deçà de 100 K€.
10. Procédure : du contrôle à la sanction
Étapes (durée moyenne 12-24 mois) :
- Contrôle CNIL (sur place, sur pièces, en ligne, ou audition)
- Procès-verbal notifié
- Mise en demeure (souvent) avec délai 1-6 mois
- Notification de griefs par le rapporteur
- Mémoire en défense + audition Comité Restreint
- Délibération Comité Restreint (sanction ou clôture)
- Publication (sauf anonymisation)
- Recours Conseil d’État (2 mois)
11. Calcul du montant : critères CNIL
L’article 83 RGPD impose 11 critères ; la CNIL les hiérarchise :
- Gravité (durée, nombre de personnes, type données)
- Caractère intentionnel ou négligent
- Mesures pour atténuer le dommage
- Antécédents (récidive = facteur aggravant majeur)
- Coopération avec l’autorité
- Avantage financier tiré
- Chiffre d’affaires (plafond 4 % CA mondial / 20 M€)
12. Coopération européenne : sanctions « one-stop-shop »
Depuis 2018, certaines sanctions transitent par l’EDPB (procédure article 65 RGPD) :
- Meta (Irlande, 1,2 Md€ en 2023 — transferts USA)
- TikTok (Irlande, 530 M€ en 2025 — transferts Chine)
- LinkedIn (Irlande, 310 M€ en 2024)
La CNIL est chef de file pour 6 multinationales : Criteo, Doctolib, Dassault Systèmes, Vivendi, Schneider Electric, et 1 confidentielle.
FAQ
Comment est calculé le montant d’une sanction CNIL ?
Selon l’article 83 RGPD : 11 critères pondérés (gravité, intentionnalité, nombre de personnes, durée, coopération, récidive…). Plafond : 4 % du CA mondial ou 20 M€ (le plus élevé). Pour les violations administratives mineures : 2 % du CA / 10 M€.
Les procédures simplifiées sont-elles publiques ?
Par défaut non : la CNIL peut publier nominativement (sanction publique) ou non (anonyme). En 2024, environ 30 % des procédures simplifiées étaient publiées nominativement. Le rapport annuel CNIL fournit les statistiques globales.
Quel est le délai moyen entre contrôle et sanction ?
12 à 24 mois, parfois plus pour les dossiers complexes (Google : 4 ans). La phase « mise en demeure » peut allonger (la CNIL préfère obtenir conformité plutôt que sanctionner). Les procédures simplifiées sont plus rapides : 3-6 mois.
La récidive aggrave-t-elle la sanction ?
Oui, facteur majeur. Exemples : Carrefour (2,25 M€ en 2020 après mises en demeure répétées), Free Mobile (1,2 M€ en 2026 après 300 K€ en 2021). Les antécédents sur 5 ans sont systématiquement examinés.
Comment contester une sanction CNIL ?
Recours au Conseil d’État dans les 2 mois suivant la notification. Avocat au Conseil d’État obligatoire. Procédure 18-36 mois. Sur 100 sanctions contestées 2018-2024 : 65 % confirmées, 22 % réduites, 8 % annulées. Effet suspensif rarement accordé.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial