La CNIL peut-elle sanctionner les PME et les petites entreprises ?

Oui. La CNIL ne se limite pas aux grandes entreprises. Les PME, artisans et associations font l'objet de contrôles, notamment suite à des plaintes de particuliers (12 000+ plaintes par an). Les montants sont proportionnels au chiffre d'affaires, mais même une petite amende couplée à une obligation de mise en conformité peut être lourde.

Comment la CNIL choisit-elle les entreprises à contrôler ?

Les contrôles CNIL sont déclenchés : suite à une plainte d'un particulier (source principale), sur initiative de la CNIL (thématique annuelle), suite à une violation notifiée, ou dans le cadre de la coopération européenne (EDPB). La CNIL publie ses thèmes de contrôle prioritaires chaque année.

Peut-on négocier une sanction CNIL ?

La procédure CNIL n'est pas une négociation. Cependant, la mise en conformité rapide et la coopération avec la CNIL sont prises en compte dans la décision. La CNIL peut prononcer un avertissement (non public) ou une mise en demeure avant une sanction pécuniaire. Les recours sont possibles devant le Conseil d'État.

Une mise en demeure CNIL est-elle une sanction ?

Non, une mise en demeure n'est pas une sanction mais une injonction de mise en conformité dans un délai donné. Elle n'est pas forcément rendue publique. En revanche, si vous ne vous mettez pas en conformité dans le délai, une sanction pécuniaire peut suivre.

Les sanctions CNIL sont-elles publiées ?

Oui, les sanctions de la formation restreinte (sanctions pécuniaires et injonctions) sont publiées sur le site de la CNIL (registre des délibérations) et restent publiques pendant 2 ans minimum. C'est un risque réputationnel important en plus de la sanction financière.

Délibérations officielles CNIL

Sanctions CNIL
101 M€ d'amendes en 2023

Montants, entreprises sanctionnées, infractions les plus courantes et procédure CNIL. Checklist pratique pour réduire votre risque d'amende.

Scanner mon site Voir nos services →

Articles 83 du RGPD

2 niveaux de sanctions

Niveau 1 — Art. 83§4

10 M€ ou 2%

Du chiffre d'affaires mondial annuel (le montant le plus élevé retenu).

Infractions concernées

Obligations des sous-traitants (Art. 28)
Registre des traitements (Art. 30)
Désignation du DPO (Art. 37)
Notification violation (Art. 33-34)

Niveau 2 — Art. 83§5

20 M€ ou 4%

Du chiffre d'affaires mondial annuel (le montant le plus élevé retenu).

Infractions concernées

Principes fondamentaux (Art. 5-7)
Droits des personnes (Art. 12-22)
Consentement invalide (Art. 7)
Transferts illicites hors UE (Art. 44+)

Délibérations officielles

Sanctions CNIL récentes

Source : Registre public des délibérations CNIL

Amazon France Logistique2023

Surveillance excessive et disproportionnée des employés

32 M€

Criteo2023

Consentement publicitaire non conforme — ciblage comportemental

40 M€

Apple (France)2023

Publicité ciblée sans consentement préalable sur App Store

8 M€

TikTok2023

Interface cookies complexe — refus plus difficile qu'accepter

5 M€

Clearview AI2022

Collecte illégale de données biométriques (visages) sans consentement

20 M€

Free Mobile2022

Sécurité insuffisante — données clients accessibles sans authentification

300 000€

Doctissimo2022

Cookies déposés sans consentement préalable + transmission données santé

380 000€

EDF2021

Prospection commerciale sans consentement + droits non respectés

600 000€

Source : CNIL — Voir toutes les décisions

Analyse des délibérations

Infractions les plus sanctionnées

Cookies & tracking

38%

Bannière non conforme, refus complexe, cookies déposés avant consentement.

Sécurité des données

22%

Mots de passe faibles, données en clair, accès non restreints.

Droits des personnes

18%

Non-réponse aux demandes d'accès, refus d'effacement, délais non respectés.

Sous-traitants (Art. 28)

12%

Absence de DPA, sous-traitants non conformes, transferts hors UE non encadrés.

Procédure CNIL

Plainte ou initiative CNIL

La procédure démarre suite à une plainte d'un particulier, une violation notifiée, ou une initiative propre de la CNIL (thématique annuelle).

Instruction

Les services de la CNIL analysent les éléments, peuvent demander des informations à l'organisation et effectuer des contrôles (sur place, en ligne, sur pièces).

Mise en demeure (si applicable)

Pour les manquements corrigeables, la CNIL peut adresser une mise en demeure (délai de mise en conformité). Peut être rendue publique ou non.

Délibération de la formation restreinte

La formation restreinte de la CNIL (commission permanente) délibère et peut prononcer : avertissement, injonction, sanction pécuniaire.

Sanction et publication

La décision est notifiée à l'organisation et publiée sur le site CNIL pendant 2 ans minimum. Recours possibles devant le Conseil d'État.

Checklist pour réduire votre risque

Bannière cookies conforme : refus aussi simple qu'accepter

Politique de confidentialité complète et accessible dans le footer

Registre des traitements tenu à jour (Art. 30)

Contrats DPA signés avec tous vos sous-traitants (Art. 28)

Procédure documentée pour répondre aux droits dans le délai d'un mois

Mesures de sécurité adaptées : chiffrement, accès restreints, MDP forts

Procédure de gestion des violations de données (notification CNIL 72h)

DPO désigné si activité l'exige (ou DPO externe mutualisé)

Questions fréquentes

FAQ — Sanctions CNIL

Les questions les plus posées sur les sanctions et la procédure CNIL.

Réduisez votre risque de sanction CNIL

Analysez votre site gratuitement : cookies, pages légales, trackers et conformité RGPD. Identifiez vos points de non-conformité avant la CNIL.

Scanner mon site gratuitement →

Résultat immédiat · Sans inscription · 100% gratuit

Sanctions CNIL101 M€ d'amendes en 2023