CNILRGPDsanctionsconformité

Sanctions CNIL : ce que risque un site non conforme RGPD

Amendes, mises en demeure, publication des sanctions : panorama des risques encourus par un site web non conforme au RGPD, avec exemples chiffrés récents.

7 min de lecture

Quelles sont les sanctions de la CNIL pour un site non conforme RGPD ?

Les sanctions de la CNIL pour un site non conforme au RGPD vont de l'avertissement à l'amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu. Une procédure simplifiée plafonne l'amende à 20 000 € pour les TPE et PME. La CNIL peut aussi imposer une mise en demeure sous 1 à 6 mois et publier la sanction.

"La CNIL ne s'occupe que des grands groupes." C'est une idée reçue tenace, et fausse. En 2024, la Commission Nationale de l'Informatique et des Libertés a prononcé plus de 80 sanctions pour un montant cumulé dépassant 89 millions d'euros. Et si certaines sanctions médiatisées concernent des GAFAM, la majorité des amendes touchent des PME et des indépendants — souvent suite à une simple plainte d'un utilisateur ou d'un ancien salarié.

Ce que vous risquez concrètement, et comment l'éviter.

Comment la CNIL est-elle saisie ?

Trois portes d'entrée principales :

  1. Plaintes de particuliers. En 2024, la CNIL a reçu près de 14 000 plaintes. La majorité concerne le défaut de réponse aux droits (accès, effacement), la prospection commerciale non sollicitée et le défaut de sécurité.
  2. Contrôles d'initiative. La CNIL programme chaque année une thématique de contrôles : cookies en 2021-2022, applications mobiles en 2023, IA générative en 2024, durées de conservation et accès aux données de santé en 2025.
  3. Signalements externes : autres autorités européennes via le mécanisme de guichet unique (le RGPD prévoit la coopération entre CNIL nationales), ANSSI (en cas d'incident de sécurité majeur), ou notification de violation de données.

L'échelle des sanctions

1. L'avertissement

Mesure la plus légère, l'avertissement est un constat formel de manquement, sans contrainte immédiate. Il peut être :

  • Privé : envoyé uniquement à l'organisme.
  • Public : publié sur le site de la CNIL, ce qui crée un risque réputationnel important.

Coût direct : zéro. Coût indirect (image, confiance des clients) : potentiellement élevé.

2. La mise en demeure

La CNIL ordonne de se mettre en conformité dans un délai déterminé (généralement 1 à 6 mois). Pas d'amende à ce stade, mais :

  • Obligation de produire un rapport de mise en conformité.
  • Possibilité de publication si l'organisme tarde ou refuse.
  • Si le délai expire sans correction → procédure de sanction enclenchée.

En 2024, la CNIL a prononcé environ 250 mises en demeure.

3. L'amende administrative

C'est la sanction phare. Deux plafonds selon la gravité :

  • Violation "ordinaire" (art. 83-4 RGPD) : jusqu'à 10 millions d'euros ou 2 % du CA mondial annuel (le plus élevé). Concerne : registre, sécurité, sous-traitance, notification de violation.
  • Violation "grave" (art. 83-5 RGPD) : jusqu'à 20 millions d'euros ou 4 % du CA mondial annuel. Concerne : bases légales, droits des personnes, transferts hors UE, principes fondamentaux (loyauté, transparence).

Pour les TPE/PME : la procédure simplifiée

Depuis 2022, la CNIL utilise une procédure simplifiée qui plafonne l'amende à 20 000 € et permet un traitement plus rapide. Elle est utilisée pour les cas non médiatisés mais clairs. Plus de 50 % des sanctions 2024 sont passées par cette voie.

4. L'astreinte journalière

Pour forcer une mise en conformité, la CNIL peut prononcer une astreinte pouvant atteindre 100 000 € par jour de retard. Multipliée par les jours, l'astreinte peut largement dépasser l'amende initiale.

5. La limitation ou l'interdiction de traitement

La CNIL peut ordonner l'arrêt total ou partiel d'un traitement non conforme. Pour un site qui dépend de ce traitement (CRM, base clients…), c'est une sanction quasi mortelle.

6. La publication

Toutes les sanctions peuvent être rendues publiques sur le site de la CNIL et au Journal Officiel. La publication produit un effet réputationnel souvent plus lourd que l'amende elle-même : la décision reste accessible plusieurs années et apparaît en première page des résultats de recherche au nom de l'organisme.

Les motifs de sanction les plus fréquents

D'après l'analyse des décisions 2023-2024, voici le top 5 :

1. Défaut de sécurité

Mots de passe en clair, base de données exposée, absence de chiffrement, fuite de données. Sanctions très fréquentes, montants en hausse depuis 2023.

Exemple 2024 : une société de location de vacances sanctionnée à hauteur de 75 000 € après la fuite de données de 80 000 clients (mots de passe non hashés).

2. Cookies non conformes

Bannière non claire, refus impossible ou plus difficile que l'acceptation, dépôt avant consentement.

Exemple 2024 : un média en ligne sanctionné à 400 000 € pour bannière trompeuse et dépôt de cookies publicitaires avant consentement.

3. Défaut d'information (politique de confidentialité)

Politique de confidentialité absente, illisible, incomplète, ou cachée.

Exemple 2024 : un site e-commerce sanctionné à 12 000 € (procédure simplifiée) pour politique de confidentialité limitée à un paragraphe générique.

4. Prospection commerciale sans base légale

Envoi d'e-mails marketing à des prospects qui n'ont pas consenti, ou rachat de bases de données prospects sans vérification du consentement initial.

Exemple 2024 : un éditeur de logiciels sanctionné à 240 000 € pour prospection massive sans consentement et registre absent.

5. Non-respect des droits des personnes

Pas de réponse aux demandes d'accès ou d'effacement dans le délai d'un mois.

Exemple 2024 : un courtier en assurance sanctionné à 50 000 € pour absence totale de réponse à des demandes d'effacement répétées.

Au-delà de la CNIL : les autres risques

Pénal

Le Code pénal (article 226-16 et suivants) sanctionne pénalement certaines infractions au RGPD :

  • Collecte déloyale de données : 5 ans d'emprisonnement et 300 000 € d'amende.
  • Conservation hors durée légale : 5 ans et 300 000 €.
  • Traitement de données sensibles sans consentement : idem.

Pour une personne morale, les amendes sont quintuplées. Ces sanctions sont rares en pratique mais leur existence rappelle que la conformité n'est pas optionnelle.

Civil

Les personnes dont les données ont été traitées illégalement peuvent engager une action en responsabilité civile et demander des dommages-intérêts. Les actions de groupe sont également possibles depuis 2018 (loi Justice du XXIe siècle).

Réputationnel

Une sanction publiée est un événement durable. Au-delà de l'amende, c'est la perte de confiance des clients, partenaires et investisseurs qui pèse le plus lourd. En 2023, une étude IFOP indiquait que 78 % des Français déclarent qu'une fuite de données les ferait reconsidérer leur fidélité à une entreprise.

Contractuel

Si vous êtes prestataire pour d'autres entreprises (B2B), un manquement RGPD peut rompre vos contrats (clauses DPA) et engager votre responsabilité envers vos clients.

Que faire pour réduire le risque ?

La conformité RGPD n'est pas un état atteint une fois pour toutes : c'est un processus continu. Voici les actions à plus fort impact :

  1. Politique de confidentialité complète et à jour : c'est le premier document examiné en cas de contrôle.
  2. Registre des traitements : indispensable, demandé systématiquement.
  3. Bannière de cookies conforme : refus aussi simple qu'acceptation, pas de dépôt avant choix.
  4. Procédure de gestion des droits : adresse dédiée, délai d'un mois respecté.
  5. DPA avec chaque sous-traitant : Stripe, Mailchimp, Google, hébergeur…
  6. Notification de violation : procédure interne pour notifier la CNIL en 72 h en cas d'incident.
  7. Sécurité de base : HTTPS, 2FA admin, mots de passe hashés, sauvegardes.
  8. Sensibilisation de l'équipe : la plupart des fuites viennent d'erreurs humaines.

Une approche pragmatique

La CNIL distingue clairement les manquements de bonne foi (essai sincère mais imparfait) et de mauvaise foi (refus délibéré). Un site qui a fait l'effort de produire des documents, même imparfaits, et qui coopère avec la CNIL, est rarement sanctionné lourdement.

Et si vous recevez un courrier de la CNIL ?

Pas de panique, mais réaction rapide :

  1. Ne pas ignorer. Le silence est aggravant.
  2. Lire attentivement ce qui est reproché. La CNIL est précise.
  3. Répondre dans le délai imparti (souvent 30 jours), de manière documentée.
  4. Si nécessaire, faire intervenir un avocat spécialisé en données personnelles, surtout pour les enjeux financiers significatifs.
  5. Mettre en œuvre les corrections et le démontrer (captures d'écran, dates, version des documents).

Une coopération sérieuse permet souvent de transformer une procédure de sanction en simple mise en demeure, voire en avertissement.

En résumé

Le RGPD a des dents. Mais la CNIL n'est pas là pour piéger les éditeurs de bonne foi — son rôle est d'élever le niveau de protection des données en Europe. Pour un site qui prend le sujet au sérieux, le risque réel est très faible. Pour un site qui ignore le sujet, il est tangible — et il grandit chaque année à mesure que les utilisateurs deviennent plus exigeants et mieux informés.

Le minimum à avoir, dès la mise en ligne : mentions légales, politique de confidentialité, bannière de cookies, et CGV si vous vendez. Avec ces quatre documents à jour, vous couvrez 80 % du risque administratif.

Évitez les sanctions : sécurisez votre site en quelques minutes

Vérifier ma conformité

Modèles prêts à générer

Créez le document conforme correspondant en quelques minutes.

RGPD
RGPD pour site WordPress

Rendez votre site WordPress conforme au RGPD : cookies, plugins, formulaires, transferts hors UE. Guide pratique et générateur de politique de confidentialité.

RGPD
RGPD pour site médical

Politique de confidentialité pour site médical conforme au RGPD 2026 : données de santé, HDS, DPO. Générez gratuitement votre document en quelques minutes.

Questions fréquentes

La CNIL ne sanctionne-t-elle que les grandes entreprises ?

Non, c'est une idée reçue fausse. En 2024, la majorité des amendes ont touché des PME et des indépendants, souvent à la suite d'une simple plainte d'un utilisateur ou d'un ancien salarié. Cette année-là, la CNIL a prononcé plus de 80 sanctions pour un montant cumulé dépassant 89 millions d'euros.

Quel est le plafond d'une amende RGPD pour un manquement grave ?

Pour une violation grave (article 83-5 du RGPD), l'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. Cela concerne les bases légales, les droits des personnes, les transferts hors UE et les principes fondamentaux. Les manquements ordinaires (registre, sécurité, sous-traitance) relèvent d'un plafond de 10 millions d'euros ou 2 % du chiffre d'affaires.

Existe-t-il une procédure simplifiée pour les TPE et PME ?

Oui. Depuis 2022, la CNIL utilise une procédure simplifiée qui plafonne l'amende à 20 000 € et permet un traitement plus rapide des cas non médiatisés mais clairs. Plus de 50 % des sanctions prononcées en 2024 sont passées par cette voie.

Que faire si je reçois un courrier de la CNIL ?

Ne l'ignorez pas, car le silence est aggravant. Lisez attentivement ce qui est reproché, puis répondez dans le délai imparti (souvent 30 jours) de manière documentée, en démontrant les corrections mises en œuvre. Une coopération sérieuse permet souvent de transformer une procédure de sanction en simple mise en demeure, voire en avertissement.

À lire aussi

RGPD : guide complet pour un site web français conforme

Comment mettre votre site en conformité avec le RGPD : politique de confidentialité, registre, bases légales, droits des utilisateurs, durées de conservation.

Mentions légales en 2026 : que doivent-elles contenir ?

Guide complet des mentions légales obligatoires pour un site web français en 2026 : informations LCEN, sanctions, cas particuliers (auto-entrepreneur, SASU, association).

CGV ou CGU : quelle différence et lequel vous faut-il ?

CGV, CGU, CGUV : on confond souvent ces documents. On vous explique en quoi ils diffèrent, qui en a besoin, et ce qu'ils doivent contenir en 2026.