La CNIL n’est plus une autorité symbolique. En 2025 et en 2026, ses formations restreintes ont prononcé des amendes de plusieurs millions d’euros à l’encontre d’entreprises françaises de toutes tailles, y compris des acteurs du commerce en ligne et de la distribution. Une sanction CNIL peut représenter jusqu’à 4 % du chiffre d’affaires annuel mondial, soit des sommes capables de fragiliser durablement une PME ou une startup. Pourtant, dans la très grande majorité des cas, ces sanctions sont évitables ou, à défaut, atténuables. Encore faut-il comprendre comment la CNIL procède, quels sont les manquements les plus fréquemment sanctionnés et comment réagir rapidement et efficacement lorsqu’une procédure est engagée.
Cet article vous donne les clés pour sécuriser votre activité numérique, anticiper un contrôle et, si nécessaire, gérer une procédure de sanction.
La Commission nationale de l’informatique et des libertés dispose de plusieurs voies pour initier un contrôle. Elle peut agir sur plainte d’un particulier (client, salarié, concurrent), sur signalement d’une autre autorité européenne dans le cadre du mécanisme de guichet unique, sur initiative propre après une veille sur les sites web et applications, ou encore à la suite d’une violation de données notifiée par l’entreprise elle-même.
Une fois la décision de contrôle prise, la CNIL peut intervenir de plusieurs façons : contrôle en ligne (visite du site web, tests des formulaires et des cookies depuis un poste externe), contrôle sur place dans les locaux de l’organisme, ou encore demande de pièces et questionnaires transmis par courrier. Dans la décision SAN-2025-017 du 30 décembre 2025, ayant abouti à une amende de 3,5 millions d’euros, la CNIL avait ainsi réalisé un contrôle en ligne le 5 janvier 2023 et un contrôle sur place le 26 janvier 2023 dans les locaux d’une société de commerce exploitant un programme de fidélité regroupant plus de 10,5 millions de membres.
La procédure comporte deux phases distinctes qu’il ne faut pas confondre.
La mise en demeure est une injonction adressée directement par la présidente de la CNIL, sans passer par la formation restreinte. Elle fixe un délai pour se mettre en conformité, généralement compris entre un et six mois. Si l’organisme s’exécute dans le délai, la procédure est close. Si ce n’est pas le cas, un rapporteur est désigné et le dossier est transmis à la formation restreinte, organe collégial qui statue après une procédure contradictoire et peut prononcer une ou plusieurs mesures correctrices.
Ces mesures correctrices comprennent notamment : un avertissement, une injonction de mise en conformité (éventuellement assortie d’une astreinte pouvant atteindre 100 000 euros par jour de retard), et une amende administrative. En vertu de l’article 83 du RGPD et de l’article 20 de la loi Informatique et Libertés du 6 janvier 1978, les amendes peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les violations de premier niveau, et 20 millions d’euros ou 4 % du chiffre d’affaires pour les violations les plus graves (notamment les manquements aux principes fondamentaux du traitement et aux droits des personnes).
L’article 6 du RGPD pose le principe de licéité du traitement : toute collecte ou utilisation de données personnelles doit reposer sur l’une des six bases légales prévues par le règlement (consentement, exécution d’un contrat, obligation légale, intérêts vitaux, mission d’intérêt public ou intérêt légitime). Agir sans base légale valide constitue l’une des violations les plus graves aux yeux de la CNIL.
Dans l’affaire SAN-2025-017, la société avait transmis les données de ses 10,5 millions d’adhérents à son programme de fidélité à un réseau social pour réaliser de la publicité ciblée, en se fondant sur le consentement de ces personnes. Or, la formation restreinte a estimé que ce consentement n’était ni spécifique ni éclairé : le formulaire d’adhésion au programme de fidélité ne mentionnait pas clairement la finalité de cette transmission, et les informations pertinentes étaient dispersées dans des documents accessibles uniquement via des liens en bas de page. Un consentement valable au sens de l’article 4, point 11 du RGPD doit être libre, spécifique, éclairé et univoque, et se manifester par un acte positif clair. Il ne peut être déduit du silence ou d’un accord portant sur une finalité distincte.
L’analyse des décisions publiées depuis 2023 révèle une concentration des manquements autour de cinq grandes catégories.
Tableau 1 : Les cinq manquements RGPD les plus fréquemment sanctionnés
Exemples concrets observés lors des contrôles de la CNIL. Sélectionnez un manquement pour explorer les détails et les cas typiques.
Dans la même affaire SAN-2025-017, la CNIL a retenu en parallèle : le manquement à l’article 13 (politique de données personnelles ne précisant pas les bases légales par finalité, absence de durée de conservation pour le programme de fidélité, références au Privacy Shield invalidé depuis l’arrêt Schrems II de la CJUE du 16 juillet 2020), le manquement à l’article 32 (mots de passe acceptés avec une entropie de seulement 26 bits, stockage des mots de passe via SHA256 considéré comme inadapté au regard des recommandations ANSSI et CNIL), le manquement à l’article 35 (absence d’analyse d’impact pour un traitement croisant les données de plus de 10,5 millions de personnes), et le manquement à l’article 82 (onze cookies déposés avant tout recueil du consentement, dont certains non supprimés après refus explicite de l’utilisateur).
La conformité RGPD n’est pas un état binaire (conforme ou non conforme) mais un processus continu d’amélioration. Voici les actions dont l’absence expose directement à une sanction.
1. Tenir un registre des activités de traitement. En vertu de l’article 30 du RGPD, tout organisme traitant des données personnelles est tenu de documenter l’ensemble de ses traitements : finalités, catégories de données, durées de conservation, destinataires, bases légales, transferts éventuels hors UE. C’est le point de départ de toute démarche de conformité et le premier document demandé lors d’un contrôle.
2. Vérifier et documenter les bases légales de chaque traitement. Chaque traitement doit être rattaché à une base légale spécifique, indiquée clairement dans les documents d’information. En matière de prospection commerciale électronique, de publicité ciblée ou d’analytique comportementale, la base légale doit généralement être le consentement, recueilli avant toute collecte, via un mécanisme actif et spécifique.
3. Mettre en conformité la politique de cookies. L’article 82 de la loi Informatique et Libertés interdit tout dépôt de traceurs non essentiels avant que l’utilisateur ait exprimé son choix. Le bouton « Refuser » doit être aussi visible et accessible que le bouton « Accepter ». Les cookies refusés doivent être effectivement supprimés.
4. Sécuriser les données conformément à l’article 32 du RGPD. La CNIL recommande, pour les mots de passe, une entropie d’au moins 80 bits (soit 12 caractères minimum incluant majuscules, minuscules, chiffres et caractères spéciaux parmi au moins 37 caractères possibles) ou 50 bits avec un mécanisme de restriction des accès (captcha, blocage après échecs répétés). Pour le stockage des mots de passe, les fonctions recommandées sont Argon2, bcrypt, scrypt ou PBKDF2. SHA256, même salé, n’est plus considéré comme adapté par l’ANSSI et la CNIL.
5. Réaliser une AIPD avant tout traitement à risque élevé. L’article 35 du RGPD impose une analyse d’impact relative à la protection des données lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, notamment en cas de traitement à grande échelle ou de croisement de données. Une AIPD implique la description du traitement, l’évaluation des risques et la définition des mesures d’atténuation.
6. Désigner et inscrire un délégué à la protection des données (DPO). La désignation d’un DPO est obligatoire pour les autorités publiques, les organismes réalisant un suivi régulier et systématique à grande échelle, et ceux traitant des données sensibles à grande échelle. La CNIL a prononcé en 2022 des mises en demeure publiques à l’encontre de 22 communes n’ayant pas désigné de DPO. Pour les entreprises non soumises à l’obligation, la désignation volontaire d’un DPO constitue un signal fort de sérieux en cas de contrôle.
La coopération loyale est un facteur atténuant expressément prévu à l’article 83, paragraphe 2 du RGPD. Dans l’affaire SAN-2025-017, la formation restreinte a pris acte des efforts de mise en conformité réalisés par la société en cours de procédure (renforcement de la politique de mots de passe, remplacement de SHA256 par Argon2, suppression des cookies non conformes, mise à jour de la politique des données personnelles). Ces efforts n’ont pas exonéré la société de sa responsabilité pour le passé, mais ils ont évité le prononcé d’une injonction et contribué à proportionner le montant de l’amende.
En pratique, cela signifie : répondre dans les délais aux demandes de la CNIL, fournir les pièces demandées, ne pas dissimuler d’informations et, surtout, engager rapidement des mesures correctives dès la notification des griefs.
La procédure devant la formation restreinte est strictement encadrée. Elle se déroule en plusieurs phases.
L’enjeu des observations en réponse est crucial. C’est à ce stade que l’organisme doit développer ses arguments juridiques (contestation des manquements retenus, qualification des faits, proportionnalité de la sanction envisagée), mais aussi documenter les mesures de mise en conformité déjà réalisées ou en cours. Une mise en conformité en cours de procédure peut éviter le prononcé d’une injonction et influencer le montant de l’amende.
Plusieurs leviers juridiques peuvent être mobilisés.
La contestation des manquements eux-mêmes. L’organisme peut contester la qualification juridique retenue par le rapporteur (par exemple, soutenir que le traitement repose sur une base légale valide, ou que les mesures de sécurité mises en place répondaient à l’état de l’art au moment des faits). Dans l’affaire SAN-2025-017, la société avait notamment soutenu que le chiffrement SHA256 complété d’un sel de 480 bits répondait aux recommandations de l’ANSSI. La formation restreinte a écarté cet argument en précisant que le sel, s’il augmente le nombre d’empreintes possibles, n’a aucune incidence sur la vitesse de calcul de l’attaquant, qui reste l’enjeu central.
La proportionnalité de l’amende. L’article 83 du RGPD et la jurisprudence de la CJUE (notamment CJUE, 5 décembre 2023, Deutsche Wohnen, et CJUE, 13 février 2025, Ilva A/S) imposent que l’amende soit effective, proportionnée et dissuasive, et tienne compte de la capacité économique réelle de l’organisme. La situation financière (chiffre d’affaires, résultat net, trésorerie, endettement) peut être un argument pour réduire le montant.
L’absence de récidive et la coopération. L’absence d’antécédents avec la CNIL, la mise en conformité spontanée et la coopération active constituent des facteurs atténuants expressément prévus à l’article 83, paragraphe 2, points e) et f) du RGPD.
La publication ou non de la décision. La formation restreinte peut décider de rendre publique sa décision, en précisant que la société ne sera plus identifiable après un certain délai (généralement deux ans). L’organisme peut demander la non-publication ou, à défaut, l’anonymisation immédiate en invoquant le risque disproportionné pour son activité commerciale.
Anticiper une sanction CNIL suppose une connaissance précise et à jour des obligations applicables, des pratiques de contrôle de l’autorité et de la jurisprudence des formations restreintes. Le cabinet Mirabile intervient à chaque étape de cet accompagnement.
En amont, les avocats du cabinet réalisent un audit de conformité RGPD adapté à votre activité numérique ou commerciale : analyse du registre des traitements, vérification des bases légales, examen des documents d’information (politique de confidentialité, mentions légales, CGU, CGV), audit de la gestion des cookies, et revue des contrats avec vos sous-traitants et prestataires techniques (qui doivent contenir les clauses exigées par l’article 28 du RGPD). Cet audit débouche sur un plan d’action priorisé, tenant compte des risques spécifiques à votre secteur et à la taille de votre organisation.
Le cabinet accompagne également les entreprises dans la rédaction et la sécurisation de leurs contrats numériques et commerciaux : contrats de sous-traitance RGPD, accords de responsabilité conjointe, conditions générales de vente et d’utilisation conformes au droit de la consommation et au droit numérique, clauses relatives à la propriété intellectuelle et à la protection des données dans les contrats de distribution et de franchise.
Enfin, le cabinet assure une veille réglementaire continue, notamment sur les recommandations et lignes directrices du Comité européen de la protection des données et les nouvelles décisions de la CNIL, pour adapter votre conformité en temps réel.
Lorsqu’une procédure est engagée, le temps est un facteur décisif. Chaque délai non respecté, chaque argument mal formulé peut aggraver la situation. Le cabinet Mirabile assure une représentation complète devant la CNIL, depuis la réponse aux premières demandes de la délégation de contrôle jusqu’à l’audience devant la formation restreinte.
Dans ce cadre, le cabinet prend en charge la rédaction des observations en réponse au rapport de sanction, la constitution du dossier de preuves de mise en conformité, la stratégie de défense sur les arguments de fond et de proportionnalité, et si nécessaire, le recours devant le Conseil d’État dans le délai de deux mois suivant la décision. La décision SAN-2025-017 mentionne expressément cette voie de recours.
Le cabinet intervient également en cas de violation de données, pour vous accompagner dans la notification obligatoire à la CNIL dans les 72 heures (article 33 du RGPD) et la communication aux personnes concernées, tout en limitant l’exposition à une procédure ultérieure.
Le risque de sanction CNIL n’est pas l’apanage des grands groupes. Les PME, les e-commerçants et les startups sont exposés au même titre, souvent avec moins de ressources pour y faire face. Trois enseignements pratiques ressortent de l’analyse des décisions récentes.
Le consentement n’est pas une formalité. Il doit être spécifique à chaque finalité, formulé en termes clairs, recueilli avant toute collecte ou dépôt de cookies, et révocable à tout moment sans perte de service. Un formulaire mal conçu ou un parcours utilisateur ambigu suffit à caractériser un manquement à l’article 6 ou à l’article 82.
La sécurité technique est un critère objectif. La CNIL et l’ANSSI publient des recommandations précises sur les standards attendus en matière de mots de passe, de chiffrement et de stockage des données. S’en écarter sans justification valable est un facteur aggravant.
La mise en conformité en cours de procédure a une valeur. Elle ne supprime pas la responsabilité pour les faits passés, mais elle peut éviter une injonction et peser sur le montant de l’amende. Plus elle intervient tôt, plus elle est crédible aux yeux de la formation restreinte.
Le cabinet Mirabile Avocat accompagne les dirigeants de TPE/PME, e-commerçants, startups et acteurs de la distribution dans tous les aspects juridiques de leur activité numérique et commerciale : conformité RGPD, rédaction de contrats, gestion des contentieux et défense devant les autorités de contrôle. Pour toute question sur votre exposition au risque CNIL ou pour une première analyse de votre situation, n’hésitez pas à prendre contact avec nos équipes.
On s'écrit ? Parlez-moi de vos projets.
Links
