Amendes RGPD : Top 15 Sanctions CNIL en France

← Blog Sécurité Fondamentaux RGPD
9 min de lecture
Équipe WebLegal

Depuis l’entrée en vigueur du RGPD en mai 2018, la CNIL a considérablement renforcé son activité de sanction. En 2026, le bilan est sans appel : des centaines de millions d’euros d’amendes ont été prononcées contre des entreprises de toutes tailles, des multinationales aux PME. Comprendre ces sanctions, leurs motifs et les montants en jeu est essentiel pour tout responsable de traitement qui souhaite protéger son entreprise.

Les sanctions CNIL les plus marquantes

La CNIL dispose depuis le RGPD d’un pouvoir de sanction considérablement renforcé : les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Voici les 15 sanctions les plus significatives prononcées en France.

Les amendes record (plus de 10 millions d’euros)

Les sanctions les plus lourdes ont frappé les géants du numérique. La CNIL a prononcé une amende de 150 millions d’euros à l’encontre d’un acteur majeur de la publicité en ligne pour des manquements liés à la gestion des cookies. Un moteur de recherche a écopé de 50 millions d’euros pour défaut de transparence et de base légale dans le traitement des données à des fins de personnalisation publicitaire. Un réseau social a été sanctionné à hauteur de 60 millions d’euros pour des pratiques de cookies non conformes.

Dans le secteur du commerce en ligne, plusieurs plateformes ont reçu des amendes comprises entre 10 et 30 millions d’euros pour des manquements à la sécurité des données ou à l’obligation d’information des utilisateurs. Un opérateur de télécommunications a été condamné à 10 millions d’euros pour des failles de sécurité ayant exposé les données de millions de clients.

Les amendes intermédiaires (100 000 € à 10 millions d’euros)

Ce segment est particulièrement instructif, car il concerne des entreprises de taille moyenne et illustre les erreurs les plus courantes. La CNIL a régulièrement sanctionné :

  • Des entreprises du secteur immobilier pour conservation excessive de données de locataires (amendes de 400 000 € à 600 000 €)
  • Des sociétés de e-commerce pour défaut de sécurité des données clients (amendes de 150 000 € à 500 000 €)
  • Des entreprises de santé pour insuffisance de protection des données de patients (amendes de 200 000 € à 1,5 million d’euros)
  • Des acteurs du marketing digital pour prospection commerciale sans consentement (amendes de 100 000 € à 300 000 €)

Les amendes touchant les PME et TPE (1 000 € à 100 000 €)

Contrairement à une idée reçue, la CNIL ne sanctionne pas uniquement les grandes entreprises. De nombreuses PME ont été sanctionnées pour des montants allant de quelques milliers à plusieurs dizaines de milliers d’euros. Ces sanctions portent généralement sur des manquements basiques : absence de politique de confidentialité, défaut de registre des traitements, ou vidéosurveillance non conforme des salariés.

Un médecin libéral a été sanctionné pour avoir insuffisamment protégé les données de santé de ses patients. Des copropriétés et des syndics ont été mis en demeure pour des systèmes de vidéosurveillance non conformes. Ces cas montrent qu’aucune structure n’est à l’abri.

Les 5 motifs de sanction les plus fréquents

L’analyse des décisions de la CNIL permet d’identifier les motifs récurrents qui déclenchent des sanctions.

1. Défaut de consentement pour les cookies

Depuis les lignes directrices de la CNIL sur les cookies (2020), le consentement préalable est obligatoire avant tout dépôt de traceur non essentiel. Les entreprises qui déposent des cookies publicitaires ou analytiques sans recueil préalable du consentement s’exposent à des sanctions lourdes. Ce motif représente à lui seul une part importante des amendes les plus élevées prononcées depuis 2021.

2. Manquement à la sécurité des données (article 32 RGPD)

L’article 32 du RGPD impose des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données. Les failles les plus sanctionnées incluent : le stockage de mots de passe en clair, l’absence de chiffrement des données sensibles, les accès non restreints aux bases de données, et l’absence de procédure de gestion des violations de données.

3. Défaut d’information des personnes (articles 13 et 14 RGPD)

Les articles 13 et 14 du RGPD exigent une information claire, complète et accessible des personnes concernées. Cela inclut l’identité du responsable de traitement, les finalités, la base juridique, les destinataires, la durée de conservation et les droits des personnes. L’absence ou l’insuffisance de cette information — souvent matérialisée par une politique de confidentialité inexistante ou lacunaire — est l’un des motifs les plus courants de sanction. Pour savoir si votre entreprise est concernée, consultez notre guide sur le champ d’application du RGPD.

4. Conservation excessive des données

Le RGPD impose de ne conserver les données personnelles que pour la durée strictement nécessaire à la finalité du traitement. La CNIL sanctionne régulièrement les entreprises qui conservent des données clients pendant des années sans justification, ou qui ne disposent d’aucune politique de purge automatique.

5. Non-respect des droits des personnes

Le droit d’accès (article 15), le droit à l’effacement (article 17) et le droit d’opposition (article 21) doivent être effectivement garantis. Plusieurs entreprises ont été sanctionnées pour avoir ignoré ou traité tardivement des demandes de suppression de données ou de désinscription de fichiers commerciaux.

Comment la CNIL calcule-t-elle le montant des amendes ?

Le calcul des amendes CNIL prend en compte plusieurs critères définis à l’article 83 du RGPD :

  • La nature et la gravité de la violation : un défaut de sécurité ayant entraîné une fuite de données sera plus lourdement sanctionné qu’un retard dans la réponse à une demande d’accès
  • Le nombre de personnes affectées : plus le nombre de personnes concernées est élevé, plus l’amende sera importante
  • Le caractère intentionnel ou négligent : une violation résultant d’une négligence caractérisée sera plus sévèrement punie
  • Les mesures correctives prises : la réactivité de l’entreprise après la découverte de la violation est prise en compte comme circonstance atténuante
  • La coopération avec la CNIL : une coopération active lors de l’enquête peut réduire le montant de la sanction
  • Les antécédents : les récidivistes s’exposent à des sanctions majorées

La CNIL applique également le principe de proportionnalité : une PME avec un chiffre d’affaires modeste recevra une amende proportionnellement plus faible qu’une multinationale, mais elle n’échappe pas pour autant à la sanction.

Les tendances récentes : ce qui a changé depuis 2023

Depuis 2023, la CNIL a fait évoluer sa stratégie de contrôle et de sanction :

La procédure simplifiée : pour les dossiers les moins complexes, la CNIL utilise une procédure accélérée permettant de prononcer des amendes jusqu’à 20 000 €. Cette procédure concerne principalement les PME et accélère considérablement le traitement des plaintes.

Les thématiques prioritaires : chaque année, la CNIL définit des secteurs et des pratiques qu’elle contrôle en priorité. Les thèmes récents incluent la gestion des données des mineurs, la conformité des applications mobiles, et le respect des règles de prospection commerciale.

La coopération européenne : via le mécanisme de guichet unique, la CNIL collabore avec les autres autorités de protection des données européennes. Certaines sanctions record résultent de procédures coordonnées impliquant plusieurs pays.

Réduire mon risque maintenant

Amende potentielle : Protégez-vous dès

Basé sur l'article 83 du RGPD, pénalité maximale de 4 % du chiffre d'affaires annuel ou 20 millions d'euros, le montant le plus élevé étant retenu.

Comment protéger votre entreprise des sanctions CNIL

Face à ces risques, la mise en conformité n’est pas une option mais une nécessité. Voici les actions prioritaires :

Faire appel à un avocat spécialisé (500-2 000 € pour un audit complet) : un avocat en droit du numérique réalisera un audit approfondi de vos pratiques et rédigera les documents nécessaires. C’est la solution la plus complète, mais aussi la plus coûteuse et la plus longue.

Faire soi-même avec des modèles en ligne (0 € mais risqué) : des modèles de politique de confidentialité et de registre des traitements existent, mais ils ne couvrent souvent pas l’ensemble de vos obligations spécifiques. Le risque de lacunes est élevé.

Utiliser une IA générique (ChatGPT, Claude) (0 € + révision avocat 150-300 €) : ces outils peuvent produire des ébauches, mais les spécificités juridiques du RGPD nécessitent une expertise que les IA généralistes ne maîtrisent pas toujours. Une révision professionnelle reste nécessaire.

Utiliser une IA juridique spécialisée (14,90-19,90 €) : des solutions comme WebLegal.ai génèrent l’ensemble de vos documents légaux obligatoires — politique de confidentialité, politique de cookies, CGU, CGV — en quelques minutes, conformes au RGPD et adaptés à votre activité.

Conclusion

Les sanctions CNIL ne sont plus des menaces théoriques : elles touchent chaque année des centaines d’entreprises en France, des multinationales aux indépendants. Les montants sont en hausse constante, et les motifs de sanction couvrent des manquements souvent basiques — absence de politique de confidentialité, cookies non conformes, sécurité insuffisante. Pour évaluer les risques spécifiques de votre site, consultez notre guide sur les sites non conformes au RGPD et leurs sanctions. En 2026, la question n’est plus de savoir si vous serez contrôlé, mais quand. Agissez maintenant pour protéger votre entreprise.