Ce qu'il faut retenir▾
- Depuis janvier 2026, la CNIL a prononcé 23 sanctions dans le cadre de sa procédure simplifiée, pour un montant cumulé de 133 750 euros, et 19 de ces dossiers ont pour origine une plainte.
- Les cookies restent un motif récurrent de sanction : bandeau incomplet, cookies déposés avant consentement, ou refus plus compliqué que l'acceptation, en violation de l'article 82 de la loi Informatique et Libertés.
- 8 sanctions sur 23 concernent le non-respect des droits d'accès ou d'effacement, dont 4 associées à un défaut de coopération avec la CNIL, pouvant mener à une injonction assortie d'une astreinte.
Résumé généré par IA
Depuis janvier 2026, la CNIL a prononcé 23 nouvelles sanctions dans le cadre de sa procédure simplifiée, pour un montant cumulé de 133 750 euros d'amendes, selon le bilan publié le 6 juillet 2026. Vidéosurveillance excessive, bandeaux cookies non conformes, non-respect des droits d'accès et d'effacement : les motifs se répètent, et la plupart concernent des dispositifs que n'importe quel site ou commerce français peut reproduire sans le savoir.
Sur les 23 dossiers, 19 ont pour origine une plainte déposée par une personne concernée, pas un contrôle proactif de la CNIL. Autrement dit : c'est souvent un client, un salarié ou un simple visiteur de votre site qui déclenche la procédure. Voici ce que dit le bilan, et surtout ce qu'il faut vérifier techniquement sur vos projets.
La procédure simplifiée, en bref
Mise en place en 2022, la procédure simplifiée permet à la CNIL de sanctionner rapidement les dossiers qui ne présentent pas de difficulté juridique particulière. Le président de la formation restreinte, ou un autre de ses membres, décide seul, sans passer par la procédure ordinaire, plus longue. Deux limites encadrent cette procédure : l'amende ne peut pas dépasser 20 000 euros, et la CNIL ne divulgue pas le nom de l'organisme sanctionné. Cela explique pourquoi ces dossiers sont moins médiatisés que les grosses sanctions RGPD, tout en étant beaucoup plus nombreux, donc plus représentatifs du risque réel encouru par une PME.
Cookies : le motif le plus facile à corriger, et le plus fréquent
Les contrôles en ligne visaient notamment des sites de vente de billets et des sociétés de télémarketing. La CNIL y a relevé trois problèmes récurrents sur les bandeaux cookies :
- Une information incomplète : pas de détail sur les finalités des cookies, pas d'identification claire du responsable de traitement, pas d'explication sur la manière de retirer son consentement.
- Le dépôt de cookies soumis à consentement, publicitaires notamment, avant toute action de l'utilisateur.
- Un refus plus compliqué que l'acceptation : un bouton « Tout accepter » activable en un clic, mais un bouton « Personnaliser » qu'il fallait ouvrir puis naviguer dans une interface pour tout refuser.
Ce dernier point s'appuie directement sur l'article 82 de la loi Informatique et Libertés : si votre bannière propose d'accepter tous les cookies en un clic, elle doit permettre de tous les refuser en un clic, au même niveau visuel. Sur le terrain, voici ce qu'il faut auditer sur vos propres sites ou ceux de vos clients :
- Un bouton « Refuser tout » de la même taille et au même niveau que « Accepter tout », sans clic supplémentaire dans un sous-menu.
- Aucun tag publicitaire ou analytics tiers ne doit se déclencher avant l'interaction de l'utilisateur : vérifiez dans l'onglet Réseau des outils de développement qu'aucune requête vers un domaine tiers de mesure ou de publicité ne part avant le clic.
- Sur Google Tag Manager, le mode de consentement doit être configuré en
deniedpar défaut pourad_storageetanalytics_storage, mis à jour uniquement après le choix explicite de l'utilisateur. - Le texte du bandeau doit citer la finalité de chaque catégorie de cookies et le nom du responsable de traitement, pas un simple lien « en savoir plus » sans contenu réel derrière.
C'est probablement le point le moins coûteux à corriger de tout ce bilan : une bannière conforme se règle en quelques heures de développement front, alors qu'un défaut sur ce point expose à une sanction récurrente, la CNIL contrôlant régulièrement les sites en ligne sans avoir besoin d'une plainte préalable.
Vidéosurveillance : un rappel utile pour les commerces
Plusieurs sociétés de restauration rapide, de transport urbain et d'exploitation de commerces en gare ont été sanctionnées pour deux manquements distincts : l'exploitation d'un dispositif de vidéosurveillance sans autorisation préfectorale (article 5.1.a du RGPD), et le filmage permanent des salariés, contraire au principe de minimisation des données (article 5.1.c du RGPD). Si vous développez ou administrez une solution de vidéosurveillance connectée pour un client commerçant, vérifiez systématiquement que l'autorisation préfectorale existe pour les zones ouvertes au public, et que les caméras ne filment pas en continu des postes de travail sans circonstance exceptionnelle le justifiant.
Droits d'accès, effacement et coopération : le risque sous-estimé
Sur les 23 sanctions, 8 concernent le non-respect des droits d'accès ou d'effacement, et 4 d'entre elles s'accompagnent d'un défaut de coopération avec la CNIL. Des organismes n'ont tout simplement pas répondu, ou ont mis trop de temps à répondre, à des demandes d'exercice de droits (articles 12, 15 et 17 du RGPD). Certains, y compris des professions comme des avocats ou des médecins, n'ont pas non plus répondu aux sollicitations de la CNIL dans le cadre de l'instruction de plaintes, ce qui constitue un manquement à l'article 18 de la loi Informatique et Libertés. Conséquence pour certains : une amende assortie d'une injonction de répondre, et faute de réponse, la liquidation d'une astreinte, une somme supplémentaire à payer.
Pour un site ou une application qui collecte des données personnelles, cela se traduit par :
- Un point de contact identifiable pour exercer ses droits : formulaire dédié ou adresse email réellement relevée, pas une boîte générique jamais consultée.
- Un délai de traitement respecté : un mois, prorogeable de deux mois pour les demandes complexes, avec une trace écrite de la date de réception.
- Un processus interne documenté pour qu'une demande ne se perde pas entre le support client et l'équipe technique.
- Une procédure de suppression effective des données, en base comme dans les sauvegardes, pas seulement dans l'interface visible par l'utilisateur.
Notre lecture chez CZSyn
Ce qui frappe dans ce bilan, ce n'est pas la sévérité des sanctions, 133 750 euros cumulés sur 23 dossiers, c'est leur origine : 19 sur 23 partent d'une plainte. Autrement dit, la CNIL n'a pas besoin de vous contrôler pour vous sanctionner : il suffit qu'un visiteur mécontent de votre bandeau cookies, ou un salarié qui se sent surveillé, dépose une réclamation en ligne, une démarche gratuite et rapide sur le site de la CNIL. Pour une PME, le vrai risque n'est donc pas le montant de l'amende, plafonné à 20 000 euros par dossier en procédure simplifiée, mais le temps perdu à répondre à une instruction, et l'image renvoyée à vos utilisateurs si le dossier venait à s'ébruiter.
Sur les projets que nous livrons, l'audit du bandeau cookies et du parcours de consentement fait partie de notre check-list de mise en production, au même titre que les tests de performance. C'est un chantier rapide à traiter, contrairement à une revue complète de gouvernance des données, et c'est justement ce qui rend une sanction sur ce motif particulièrement évitable.
Votre bandeau cookies résisterait-il à un contrôle CNIL ?
Nous auditons gratuitement la conformité de votre site (cookies, droits d'accès, sécurité) et corrigeons les points bloquants avant qu'une plainte ne se transforme en sanction.
29 AVIS 5/5 · +200 PROJETS LIVRÉS · RÉPONSE EXPRESS
Sources primaires
- CNIL, « La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée », 6 juillet 2026.
- Règlement (UE) 2016/679 du 27 avril 2016 (RGPD), texte officiel sur EUR-Lex.
- CNIL, site officiel de la Commission nationale de l'informatique et des libertés.
