Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
RGPD

CNIL : rôle, pouvoirs et sanctions (guide 2026)

Comprendre la CNIL en 2026 : rôle, pouvoirs de contrôle et de sanction, obligations des entreprises, sanctions récentes et préparation aux contrôles.

L’essentiel. La CNIL est l’autorité française de protection des données, créée par la loi Informatique et Libertés de 1978 et devenue autorité de contrôle du RGPD en 2018. Elle contrôle (sur place, en ligne, sur pièces, sur audition) et sanctionne (amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). Depuis le RGPD, les déclarations préalables ont disparu au profit de la responsabilisation : c’est à chaque organisme de documenter lui-même sa conformité (registre, AIPD, contrats). Toute structure traitant des données personnelles en France relève de la CNIL. En 2024, elle a prononcé 87 sanctions pour plus de 55 millions d’euros — la répression n’a jamais été aussi active.

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité française chargée de veiller au respect de la protection des données personnelles. En 2024, elle a prononcé 87 sanctions pour un montant cumulé dépassant 55 millions d’euros, et la tendance s’est confirmée en 2025 avec des amendes majeures — le contrôle de la conformité des organismes n’a jamais été aussi actif.

Que vous soyez dirigeant de PME, DPO ou responsable informatique, comprendre le rôle de la CNIL, ses pouvoirs et vos obligations est devenu indispensable. Cet article fait le point complet, à jour en 2026.

Qu’est-ce que la CNIL ?

La CNIL est une autorité administrative indépendante (AAI) créée par la loi n° 78-17 du 6 janvier 1978, dite « Informatique et Libertés ». C’est l’une des plus anciennes autorités de protection des données au monde — elle préexiste au RGPD de quarante ans. Vous pouvez consulter la loi Informatique et Libertés, article par article, qui organise ses missions.

Base légale et positionnement européen

Depuis mai 2018, la CNIL agit dans le cadre du Règlement Général sur la Protection des Données (RGPD). L’article 51 du RGPD impose à chaque État membre de désigner une ou plusieurs autorités de contrôle indépendantes. En France, c’est la CNIL, conformément à l’article 8 de la loi Informatique et Libertés révisée.

La CNIL participe au Comité européen de la protection des données (CEPD), qui assure la cohérence de l’application du RGPD entre les 27 États membres. Ce mécanisme de coopération est essentiel : lorsqu’un traitement concerne plusieurs pays européens, les autorités se coordonnent via le mécanisme de guichet unique (art. 60 RGPD), sous l’égide de l’autorité chef de file.

Composition et indépendance

La CNIL est un collège de 18 membres issus de différentes institutions (Assemblée nationale, Sénat, Conseil d’État, Cour de cassation, Cour des comptes, personnalités qualifiées). Cette composition garantit son indépendance vis-à-vis du pouvoir exécutif — exigence posée par l’article 52 du RGPD. Depuis 2019, elle est présidée par Marie-Laure Denis. La CNIL emploie plus de 300 agents, effectif en croissance mais qui reste modeste au regard de l’ampleur de ses missions.

Bref historique

La CNIL est née en réaction au projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), qui visait à interconnecter les fichiers administratifs via le numéro de sécurité sociale. L’émotion publique suscitée par sa révélation en 1974 a conduit à la loi de 1978.

Étape Contenu
1978 Création, centrée sur les fichiers publics
2004 Réforme majeure : extension aux fichiers privés, pouvoir de sanction
2018 Adaptation au RGPD : fin des déclarations préalables, renforcement des sanctions
2025-2028 Nouveau plan stratégique axé sur l’IA, les mineurs, la cybersécurité et les transferts

Les missions de la CNIL

L’article 57 du RGPD détaille les missions des autorités de contrôle. En pratique, celles de la CNIL s’articulent autour de quatre axes.

1. Informer et protéger les droits des personnes

La CNIL est le point de contact pour toute personne estimant que ses données sont mal utilisées. Elle reçoit chaque année plus de 16 000 plaintes. Elle informe les citoyens de leurs droits — droit d’accès, droit de rectification, droit à l’effacement, droit d’opposition — et intervient auprès des organismes en cas de non-respect. C’est un rôle souvent sous-estimé : la CNIL n’est pas seulement un gendarme, c’est aussi un médiateur entre les individus et les organisations.

2. Accompagner les organismes dans leur conformité

La CNIL publie des référentiels, guides pratiques, recommandations et délibérations qui constituent le socle de la doctrine française. Pour les DPO et responsables conformité, ces publications sont des outils quotidiens :

3. Contrôler le respect de la loi

La CNIL dispose d’un pouvoir de contrôle étendu, détaillé plus bas, qui lui permet de vérifier sur le terrain que les organismes respectent effectivement leurs obligations.

4. Anticiper et innover

La CNIL assure une veille technologique permanente. Depuis 2023, l’intelligence artificielle est au cœur de ses travaux : service dédié à l’IA, fiches pratiques sur l’application du RGPD aux systèmes d’IA, et articulation avec le règlement européen sur l’IA (AI Act). Elle opère un « bac à sable » (sandbox) accompagnant des projets innovants. Pour suivre ces travaux, voir notre veille sur l’actualité IA 2026.

Les pouvoirs de la CNIL

Les pouvoirs de la CNIL sont considérables et se sont renforcés avec le RGPD.

Pouvoir de contrôle

En vertu de l’article 58(1) du RGPD, la CNIL peut mener quatre types de contrôles :

Type de contrôle Modalités
Sur place Agents dans les locaux, avec ou sans préavis ; accès aux systèmes, communication de documents, copies
En ligne Vérification à distance d’un site, d’une application ou d’un service (de plus en plus fréquent)
Sur pièces Questionnaire écrit et demande de documents (registre, AIPD, contrats)
Sur audition Convocation des responsables dans les locaux de la CNIL

Ce qu’il faut retenir : les agents disposent d’un droit d’accès très large, et faire obstacle à un contrôle constitue un délit pénal (art. 226-22-2 du Code pénal).

Pouvoir de sanction

L’article 58(2) du RGPD confère à la CNIL un arsenal de mesures correctrices, graduées :

  • Rappel à l’ordre : avertissement formel sans sanction financière.
  • Mise en demeure : injonction de se mettre en conformité dans un délai déterminé (souvent 1 à 3 mois).
  • Injonction sous astreinte : sommation de faire, assortie d’une pénalité par jour de retard.
  • Limitation ou interdiction de traitement : mesure conservatoire grave, pouvant bloquer une activité.
  • Amende administrative : la sanction la plus médiatisée.

Les amendes prévues par l’article 83 du RGPD peuvent atteindre :

  • 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les manquements aux obligations du responsable de traitement (art. 83(4)) ;
  • 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les violations des principes fondamentaux ou des droits des personnes (art. 83(5)).

C’est le montant le plus élevé qui s’applique. Voir notre dossier complet sur les sanctions RGPD.

Sanctions récentes marquantes

Pour donner une idée concrète de l’échelle des amendes :

Organisme Montant Année Motif principal
Amazon Europe Core (via la CNPD, Luxembourg) 746 000 000 € 2021 Ciblage publicitaire — décision transfrontalière
Orange 50 000 000 € 2025 Insertion de publicités dans les e-mails sans consentement
Criteo 40 000 000 € 2023 Ciblage publicitaire sans consentement valide
Amazon France Logistique 32 000 000 € 2023 Surveillance excessive des salariés
Clearview AI 20 000 000 € 2022 Collecte massive de photos faciales sans base légale
Voodoo 3 000 000 € 2024 Traceur publicitaire sans consentement
Doctissimo 380 000 € 2023 Durées de conservation excessives, données de santé

La sanction infligée à Amazon au Luxembourg illustre le mécanisme de coopération européen : instruite par la CNPD luxembourgeoise, elle a impliqué la CNIL comme autorité concernée. Sur les enjeux de prospection, voir aussi notre article dédié à la prospection commerciale et au RGPD.

Pouvoir de publication

La CNIL peut rendre publiques ses sanctions (art. 58(2)). C’est le « name and shame » : la publication sur le site de la CNIL et sur Légifrance constitue souvent un préjudice réputationnel aussi important que l’amende. En pratique, la quasi-totalité des sanctions significatives sont désormais publiées.

Les obligations des entreprises vis-à-vis de la CNIL

Depuis l’entrée en application du RGPD le 25 mai 2018, la logique de déclaration préalable a été remplacée par un principe de responsabilisation (accountability). Les anciennes déclarations CNIL n’existent plus. Voici les obligations principales.

Tenir un registre des activités de traitement

L’article 30 du RGPD impose à tout responsable de traitement de tenir un registre documentant l’ensemble des traitements : finalités, catégories de données, destinataires, durées de conservation, mesures de sécurité. Commencez par un audit RGPD pour identifier vos traitements, avant de constituer votre registre des traitements.

Désigner un Délégué à la Protection des Données (DPO)

L’article 37 rend la désignation d’un DPO obligatoire dans trois cas :

  1. l’organisme est une autorité ou un organisme public ;
  2. les activités de base exigent un suivi régulier et systématique à grande échelle des personnes ;
  3. les activités de base consistent en un traitement à grande échelle de données sensibles.

Même hors obligation, la désignation d’un DPO — interne ou externalisé — est fortement recommandée. Pour vérifier votre situation, voir quand le DPO est-il obligatoire.

Réaliser des analyses d’impact (AIPD)

L’article 35 impose une analyse d’impact (AIPD) lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés ». La CNIL a publié une liste de traitements pour lesquels une AIPD est obligatoire (délibération n° 2018-327 du 11 octobre 2018). Dans la pratique du conseil, l’AIPD est l’exercice qui pose le plus de difficultés : la méthodologie de la CNIL (logiciel PIA) est un bon point de départ, mais elle exige une compréhension fine des critères de risque.

Notifier les violations de données

L’article 33 impose de notifier à la CNIL toute violation de données dans un délai de 72 heures, sauf absence de risque pour les personnes. En cas de risque élevé, l’article 34 impose aussi d’informer les personnes concernées. Le nombre de notifications explose (plusieurs milliers par an) — voir notre guide complet sur la notification de violation à la CNIL et le modèle de notification 72h.

Encadrer les relations avec les sous-traitants

L’article 28 du RGPD impose de formaliser par contrat la relation avec tout sous-traitant : instructions du responsable, mesures de sécurité, sort des données en fin de contrat, conditions de sous-traitance ultérieure.

Respecter les droits des personnes

Le responsable doit répondre aux demandes d’exercice de droits dans un délai d’un mois (art. 12(3)) : accès, rectification, effacement, opposition, portabilité. Ces réponses doivent être claires et documentées — voir les bonnes pratiques de l’article 12 et notre guide de réponse au droit d’accès. Chaque traitement doit par ailleurs reposer sur une base légale valide.

Coopérer en cas de contrôle

Le refus de coopérer lors d’un contrôle est un délit pénal (art. 226-22-2 du Code pénal). En pratique, préparez en amont un dossier de conformité à jour.

Comment la CNIL contrôle les organisations

Déclenchement du contrôle

Un contrôle peut être déclenché par : une plainte d’un particulier (source la plus fréquente), le programme annuel de contrôles thématiques, une information parue dans la presse ou remontée par une autre autorité, un signalement (y compris d’un salarié).

Déroulement d’un contrôle sur place

  1. Notification de la venue (parfois quelques jours avant, parfois le jour même pour les contrôles inopinés).
  2. Présentation de l’ordre de mission : habilitation et objet du contrôle.
  3. Accès aux locaux et aux systèmes : démonstration de logiciels, accès aux bases, copies de fichiers.
  4. Auditions : DPO, DSI, responsables métier.
  5. Procès-verbal rédigé et signé sur place, avec possibilité d’y consigner des observations.

Que préparer en cas de contrôle

Maintenez en permanence un dossier de conformité à jour :

  • le registre des traitements (art. 30) ;
  • les AIPD réalisées (art. 35) ;
  • les contrats sous-traitants (art. 28) ;
  • la politique de confidentialité et les mentions d’information ;
  • les preuves de recueil de consentement, le cas échéant ;
  • le registre des violations de données ;
  • les coordonnées du DPO.

La meilleure façon de se préparer à un contrôle CNIL est de ne pas l’attendre : la conformité est un processus continu. Un logiciel RGPD permet d’industrialiser cette documentation et de la maintenir à jour en permanence.

Les sanctions CNIL en pratique

Tendances 2024-2026

L’activité répressive s’est considérablement intensifiée. Les secteurs les plus ciblés :

  • le marketing digital : traceurs publicitaires, prospection sans consentement ;
  • la surveillance des salariés : vidéosurveillance excessive, géolocalisation, monitoring ;
  • la santé : hébergement de données de santé, sécurité insuffisante ;
  • les services en ligne : durées de conservation, droits des personnes non respectés.

La procédure de sanction simplifiée, introduite en 2022 (amendes jusqu’à 20 000 €), est devenue un canal dominant : elle a multiplié les sanctions de faible montant, qui touchent désormais aussi les PME et les associations. Pour suivre les décisions au fil de l’eau, voir notre veille sur l’actualité RGPD 2026.

Le plan stratégique 2025-2028

Le plan stratégique de la CNIL pour 2025-2028 identifie plusieurs axes prioritaires :

  1. l’intelligence artificielle et les usages des données massives ;
  2. la protection des mineurs en ligne ;
  3. la cybersécurité et les violations de données ;
  4. les transferts internationaux de données.

Sur ce dernier point, la situation 2026 mérite une précision : le cadre EU-US Data Privacy Framework (décision d’adéquation de juillet 2023) demeure valide ; le Tribunal de l’Union européenne a rejeté en septembre 2025 un premier recours en annulation (affaire Latombe), décision susceptible de pourvoi devant la Cour de justice. Pour les transferts hors zones adéquates, les clauses contractuelles types de la Commission (décision 2021/914) restent le mécanisme de référence.

Ces axes orientent directement la politique de contrôle : attendez-vous à des contrôles renforcés sur ces thématiques.

Comment se mettre en conformité

La mise en conformité n’est pas un projet ponctuel — c’est un processus continu.

  1. Cartographier vos traitements : identifiez toutes les données que vous traitez. Un audit RGPD structuré est le point de départ.
  2. Constituer votre registre : documentez chaque traitement (art. 30). Utilisez un modèle de registre.
  3. Identifier les traitements à risque : réalisez une AIPD là où elle s’impose.
  4. Formaliser vos contrats sous-traitants : vérifiez la présence des clauses de l’article 28.
  5. Mettre à jour vos mentions d’information : politique de confidentialité, mentions de collecte, bandeau cookies.
  6. Organiser la gestion des droits : un processus pour répondre sous un mois (art. 12(3)).
  7. Documenter en continu : la conformité se prouve. Conservez les traces de vos décisions, analyses et actions.

L’enjeu n’est pas de tout faire en une fois, mais d’installer une routine : un traitement nouveau déclenche une entrée au registre, un traitement à risque déclenche une AIPD, un incident déclenche l’analyse de notification. C’est cette régularité — plus que la perfection ponctuelle — que la CNIL apprécie en cas de contrôle.

Ce qu’il faut retenir

  • La CNIL est l’autorité française de protection des données, indépendante, créée en 1978 et devenue autorité de contrôle du RGPD en 2018.
  • Ses pouvoirs couvrent le contrôle (sur place, en ligne, sur pièces, sur audition) et la sanction (amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial).
  • Les déclarations préalables n’existent plus : place à la responsabilisation (accountability).
  • Toute organisation traitant des données en France doit tenir un registre, et selon les cas désigner un DPO, réaliser des AIPD et notifier les violations sous 72 heures.
  • L’activité répressive est en forte hausse : 87 sanctions en 2024, des amendes majeures en 2025, avec un focus sur le marketing digital, la surveillance des salariés et l’IA.

FAQ

Faut-il encore faire une déclaration à la CNIL ?

Non. Depuis l’entrée en application du RGPD le 25 mai 2018, les déclarations préalables ont été supprimées, remplacées par le principe d’accountability : c’est à chaque organisme de documenter sa conformité, notamment via le registre des traitements (art. 30). Il subsiste quelques formalités résiduelles pour certains traitements spécifiques (santé, fichiers de police), mais l’immense majorité des organismes n’a plus aucune déclaration à effectuer.

Comment contacter la CNIL ?

  • Adresse postale : 3, Place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07 ;
  • Téléphone : 01 53 73 22 22 (du lundi au vendredi, 9h-18h) ;
  • En ligne : plainte, demande de conseil ou signalement via cnil.fr.

Pour déposer une plainte, le formulaire en ligne est le canal le plus efficace. La CNIL accuse réception et instruit la demande dans un délai variable selon la complexité.

Quelles sont les sanctions maximales de la CNIL ?

Fixées par l’article 83 du RGPD : 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le plus élevé) pour les violations les plus graves (principes fondamentaux, droits des personnes, transferts internationaux) ; 10 millions d’euros ou 2 % du CA mondial pour les manquements aux obligations du responsable ou du sous-traitant. En pratique, la plupart des sanctions restent en deçà de ces plafonds, mais les amendes de 40 à 50 millions d’euros prononcées depuis 2023 montrent que les montants augmentent nettement.

Mon entreprise est-elle concernée par la CNIL ?

Oui, dans la quasi-totalité des cas. Dès lors que vous traitez des données personnelles — des informations se rapportant à des personnes physiques identifiées ou identifiables — vous relevez du RGPD et de la compétence de la CNIL : fichiers clients, fichiers salariés, bases prospects, données de navigation, vidéosurveillance. La seule exception concerne les traitements strictement personnels ou domestiques (art. 2(2)© RGPD), comme un carnet d’adresses privé.

La CNIL peut-elle contrôler une PME ou une association ?

Oui. Aucune taille minimale n’exempte du RGPD. La procédure de sanction simplifiée (amendes jusqu’à 20 000 €) a précisément élargi le champ des sanctions aux petites structures. Une PME ou une association qui néglige son registre, ses mentions d’information ou la gestion des demandes de droits s’expose à une mise en demeure, puis à une sanction en cas de non-régularisation.

Quel est le rôle de la CNIL en matière d’intelligence artificielle ?

La CNIL a fait de l’IA une priorité depuis 2023 : service dédié, fiches pratiques sur l’application du RGPD à l’IA (données d’entraînement, base légale, information des personnes), et bac à sable pour projets innovants. Elle articule sa doctrine avec le règlement européen sur l’IA (AI Act), dont le déploiement s’échelonne jusqu’en 2027. Voir nos recommandations IA de la CNIL et notre veille actualité IA 2026.

Thiébaut Devergranne
Docteur en droit des nouvelles technologies (Paris II)

Docteur en droit, Thiébaut Devergranne travaille en droit des nouvelles technologies et en protection des données personnelles depuis plus de 20 ans. Il a accompagné des centaines d'organisations dans leur mise en conformité RGPD et est le fondateur de Legiscope, logiciel de conformité RGPD.

En savoir plus sur l'auteur →