CNIL : Définition, Rôle et Missions [Guide 2026]

6/2/2026
Tous les guides
📚 Notions de base

🔄 Mise à jour majeure 2026 : Article enrichi avec les chiffres CNIL 2024-2025 (€478M d'amendes record, 5,629 violations +20%), nouveau rôle AI Act, et dernières sanctions Google 325M€ (septembre 2025).

Vous vous interrogez sur la CNIL (Commission Nationale de l'Informatique et des Libertés) ? C'est l'autorité française qui veille à la protection de vos données personnelles.

Créée en 1978, la CNIL a connu une montée en puissance spectaculaire depuis l'entrée en vigueur du RGPD en 2018. En 2025, elle a prononcé un montant record de 478 millions d'euros d'amendes, dont la sanction historique de 325M€ contre Google (septembre 2025).

Nouveauté 2026 : Depuis août 2025, la CNIL est également l'autorité de régulation de l'AI Act en France, renforçant considérablement son champ d'intervention sur l'intelligence artificielle.

CNIL en chiffres (2024-2025)

Activité 2024-2025 :

  • 5,629 violations de données notifiées en 2024 (+20% vs 2023)
  • 1,247 contrôles effectués en 2025 (+15% vs 2024)
  • 15,247 plaintes reçues en 2024
  • 87 sanctions prononcées en 2024 (vs 42 en 2023)
  • €478M total des amendes 2025 (record historique)

Top 5 sanctions CNIL 2025 :

  1. Google : 325M€ (publicités Gmail sans consentement - sept 2025)
  2. Shein : 150M€ (utilisation données clients - oct 2025)
  3. Nexpublica : 1,7M€ (sécurité insuffisante - déc 2025)
  4. American Express : 1,5M€ (non-respect droits personnes - nov 2025)
  5. Mobius/Deezer : 1M€ (violation données - déc 2025)

Nouveaux pouvoirs 2025-2026 :

  • AI Act : Régulation IA depuis août 2025
  • Sanctions cumulées : RGPD (20M€) + AI Act (35M€) = jusqu'à 55M€
  • Contrôles prioritaires 2025 : Applications mobiles, IA, mineurs en ligne, cybersécurité

🎯 Dans ce guide, découvrez :

  • Le rôle et les missions de la CNIL
  • Ses nouveaux pouvoirs AI Act 2026
  • Les contrôles et sanctions (exemples 2025)
  • Comment éviter un contrôle CNIL
  • FAQ complète

Définition de la CNIL

Le sigle CNIL signifie Commission Nationale de l'Informatique et des Libertés (CNIL). Son rôle est de veiller à la protection des données personnelles des individus en France.

La CNIL a été créée par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, aussi appelée "Loi informatique et Libertés". Il s'agit de la première législation en France en matière de protection des données informatiques, avant l'avènement de la réglementation européenne à ce sujet.

La Loi Informatique et Liberté a depuis été modifiée à de nombreuses reprises notamment lors de l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018 à laquelle la loi renvoie expressément.

Notons que la CNIL est une autorité administrative indépendante (AAI) ce qui signifie qu'elle ne reçoit aucune instruction de la part de l'État, elle est parfaitement libre dans ses prises de position et décisions.

Elle est composée de 18 membres issus de l'Assemblée nationale, du Sénat, du Président de la Commission d'accès aux documents administratifs (CADA), de membres des hautes juridictions (Conseil d'État, Cour de cassation, Cour des comptes) et de membres désignés par ces institutions.

CNIL et AI Act : Nouveau rôle depuis 2025

Évolution majeure août 2025 : Depuis l'entrée en vigueur de l'AI Act, la CNIL est désignée comme autorité de régulation de l'intelligence artificielle en France pour :

✅ Pratiques de catégorisation biométrique
✅ Reconnaissance des émotions (travail, école)
✅ Scoring social
✅ Prédiction du risque criminel
✅ Identification biométrique à distance

Concrètement : Si votre entreprise utilise une IA à haut risque (tri de CV, scoring crédit, biométrie...), la CNIL peut désormais vous contrôler à la fois sur le RGPD ET sur l'AI Act.

Sanctions cumulées possibles :

  • RGPD : Jusqu'à 20M€ ou 4% du CA mondial
  • AI Act : Jusqu'à 35M€ ou 7% du CA mondial
  • Total théorique : Jusqu'à 55M€ pour une même infraction

💡 Important : Depuis août 2026, les entreprises utilisant des IA à haut risque doivent être conformes à l'AI Act sous peine de sanctions.

🔗 Pour en savoir plus : AI Act : Guide Complet 2026

Quel est le rôle de la CNIL ?

La CNIL est chargée de veiller à la données à caractère personnel contenues dans les traitements informatiques ou papiers, opérés par des organismes publics ou privés.

💡Pour rappel, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement ou indirectement (article 4 RGPD). Sont donc exclues de cette définition toutes les données se rapportant à une personne morale (entreprise, organisme privé ou public, État etc).

Rappelons encore qu'un traitement est toute opération sur une donnée à caractère personnel (collecte, enregistrement, utilisation, transmission, destruction) (article 4 RGPD).

À ce titre, elle a pour missions :

Mission n°1 - Informer les professionnels et les particuliers concernant la protection des données personnelles.

Par exemple, en recueillant les plaintes des particuliers qui ne parviennent pas à exercer leurs droits à l'effacement de leurs données personnelles auprès d'une entreprise ou d'un organisme.

Par exemple en publiant beaucoup de contenus à destination des professionnels pour qu'ils puissent se mettre conformité avec le RGPD et la Loi Informatique et Libertés.

Mission n°2 - Accompagner les professionnels dans leur conformité et conseiller le Gouvernement dans la rédaction de nouveaux textes sur le sujet.

Par exemple, la CNIL aide les entreprises dans la désignation de leur délégué à la protection des données (DPO) qui est la personne, interne à l'entreprise, chargée d'accompagner l'organisme dans la protection des données personnelles.

La CNIL publie des avis sur les projets de loi ou de décret du Gouvernement.

Mission n°3 - Anticiper. La CNIL intervient sur les sujets émergents afin de contribuer au développement des nouvelles technologies en conformité avec la protection des données personnelles.

Par exemple, la CNIL anime des réflexions sur les évolutions des technologies numériques.

Mission n°4 - Contrôler et sanctionner.

La CNIL intervient pour procéder à des contrôles sur place (et sur pièces) auprès des responsables de traitement pour vérifier leurs mises en conformité. Son contrôle est décidé à son initiative ou à la suite de plusieurs plaintes.

À l'issue de ce contrôle, le responsable de traitement peut faire l'objet d'une sanction si des manquements sont constatés.

Mission n°5 - Réguler l'intelligence artificielle (depuis août 2025).

La CNIL est l'autorité française chargée de faire respecter l'AI Act pour certains systèmes d'IA. Elle contrôle notamment :

  • Les pratiques interdites (manipulation, scoring social...)
  • Les IA à haut risque (biométrie, RH, crédit...)
  • Le respect des obligations de transparence
  • La protection des données dans les modèles d'IA

Par exemple, si une entreprise utilise une IA pour trier automatiquement des CV de candidats, la CNIL peut contrôler :

  1. RGPD : Les données personnelles sont-elles bien protégées ?
  2. AI Act : L'IA a-t-elle été testée contre les biais discriminatoires ? Y a-t-il un contrôle humain ?

Résultat : La CNIL dispose désormais d'un double pouvoir de contrôle et de sanction (RGPD + AI Act).

L'objectif premier de la CNIL est de sensibiliser les professionnels aux sujets de la protection des données et les accompagner. Ce n'est qu'en dernier recours que la CNIL se positionnera en tant qu'autorité de contrôle et de sanction.

Quels sont les pouvoirs de la CNIL ?

Pouvoir de contrôle

Comme évoqué ci-dessus, CNIL procède à des contrôles auprès des responsables de traitement c'est-à-dire tout organisme traitant des données personnelles en France (entreprise, administration, association etc.) et auprès des sous-traitants de ces acteurs (prestataire de services, logiciel, SaaS, hébergeurs etc.).

→ Donc peuvent être ciblés par un contrôle CNIL toutes entreprises, associations, organisme public ou privé exerçant leurs activités sur le territoire français.

💡 Pour rappel, le responsable de traitement est la personne qui détermine la finalité et les moyens du traitement de la donnée personnelle (article 4 RGPD). Le sous-traitant est la personne ou l'organisme (souvent un prestataire de services) qui traite des données à caractère personnel pour le compte et sur les instructions du responsable de traitement (article 28 RGPD).

Ces contrôles peuvent s'effectuer de sa propre initiative ou à la suite de réclamations ou de signalements.

Par exemple, il peut arriver qu'une personne signale à la CNIL une entreprise qui continue de lui envoyer des emails de prospection commerciale malgré sa demande d'être supprimé de la liste des destinataires.

En tout état de cause, le contrôle a pour but de vérifier la conformité des traitements des données personnelles au RGPD et à la Loi Informatique et Liberté.

Le contrôle peut s'effectuer sous plusieurs formes :

  • Sur place : investigation dans les locaux de l'organisme par un délégé de la CNIL.
  • Sur pièces : par la réponse à un formulaire accompagné de la documentation de l'entreprise (registre de traitement des données personnelles, registre des sous-traitants, contrats des sous-traitants etc.).
  • Sur audition : audition du responsable de traitement dans les locaux de la CNIL pour répondre à des questions sur sa conformité.
  • En ligne : des vérifications sont effectuées par les agents de la CNIL directement en ligne. Par exemple en ce qui concerne la mise en place de la bannière de cookies soumis au consentement des utilisateurs 🍪.

Le contrôle peut comprendre une ou plusieurs de ces formes en fonction du contexte.

Concrètement, la CNIL peut procéder à des copies de fichiers, accéder aux systèmes informatiques, demander la communication de document, s'entretenir avec les employés, procéder à des tests etc.

☝🏻 Le responsable de traitement doit être informé par la CNIL dès que celle-ci a décidé de procéder à un contrôle de cet organisme. De plus, avant chaque type de contrôle, le responsable de traitement est informé au minimum 24 heures à l'avance.

⚠️ Si un responsable de traitement s'oppose à un contrôle par la CNIL (refus d'obtempérer lors du contrôle, refus de communication de pièces ou communication de fausses informations), cette opposition est punie d'un an de prison et 15 000 euros d'amende (article 226-22-2 code pénal).

Bilan des contrôles CNIL 2024-2025

La CNIL a renforcé son activité de contrôle ces dernières années.

Chiffres clés 2024-2025

Contrôles :

  • 1,247 contrôles effectués en 2025 (+15% vs 2024)
  • 32% des contrôles = PME/TPE (vs grandes entreprises uniquement avant)
  • 4 thématiques prioritaires définies chaque année

Plaintes et notifications :

  • 15,247 plaintes reçues en 2024
  • 5,629 violations de données notifiées en 2024 (+20% vs 2023)
  • Doublement des attaques massives (>1M personnes affectées)

Sanctions :

  • 87 sanctions prononcées en 2024 (vs 42 en 2023)
  • 69 par procédure simplifiée (79% du total)
  • €478M d'amendes en 2025 (record historique)

Thématiques prioritaires de contrôle 2025

Chaque année, la CNIL définit 4 thématiques de contrôle prioritaires. Voici celles de 2025 :

  1. Applications mobiles et SDK
  • Collecte excessive de données
  • Partage de données avec SDK tiers
  • Non-respect du consentement
  • Secteurs ciblés : E-commerce, santé, jeux, fitness
  1. Protection des mineurs en ligne
  • Collecte de données d'enfants sans consentement parental
  • Plateformes de réseaux sociaux
  • Applications éducatives
  • Focus : Moins de 15 ans
  1. Intelligence artificielle
  • IA de recrutement (tri CV)
  • IA de scoring (crédit, assurance)
  • Chatbots et assistants virtuels
  • Nouveauté : Convergence RGPD + AI Act
  1. Cybersécurité et violations de données
  • Mesures de sécurité insuffisantes
  • Mots de passe faibles
  • Absence MFA (authentification multi-facteurs)
  • Gestion des sous-traitants

Quels secteurs sont les plus contrôlés ?

Top 5 secteurs contrôlés en 2025 :

  1. E-commerce (23% des contrôles) - Cookies, prospection, newsletters
  2. Santé (18%) - Données sensibles, hébergement, AIPD
  3. RH / Recrutement (15%) - Vidéosurveillance salariés, tri CV
  4. Finance / Banques (12%) - Scoring, lutte fraude
  5. Marketing / Publicité (10%) - Traceurs, consentement

Nouveaux secteurs ciblés 2026 :

  • Collectivités territoriales (gestion données citoyens)
  • Applications mobiles (tous secteurs)
  • Entreprises utilisant l'IA (conformité AI Act)

Comment éviter un contrôle CNIL ? (Bonnes pratiques)

  1. Nommer un DPO
  • Obligatoire si > 250 salariés OU traitement sensible
  • Contact privilégié avec la CNIL
  • Réduit le risque de contrôle
  1. Tenir un registre des traitements à jour
  • Document n°1 demandé lors des contrôles
  • Obligation RGPD (article 30)
  • Leto automatise la création et la mise à jour → Découvrir
  1. Documenter la conformité
  • Politique de confidentialité
  • AIPD pour traitements à risque
  • Contrats DPA avec sous-traitants
  • Registre des violations de données
  1. Former les équipes
  • Sensibilisation RGPD annuelle minimum
  • Bonnes pratiques (emails, mots de passe, phishing...)
  • Leto propose des modules de formation → Voir
  1. Sécuriser les données
  • Chiffrement
  • Mots de passe forts + MFA
  • Sauvegardes régulières
  • Plan de réponse aux incidents
  1. Respecter les droits des personnes
  • Répondre aux demandes d'accès/suppression dans les 30 jours
  • Process clair d'exercice des droits
  • Traçabilité des demandes

Pouvoir de sanction

À la suite du contrôle de la CNIL, plusieurs options sont possibles :

  • Option n°1 :  aucunement manquement n'est constaté par la CNIL, la procédure est clôturée et vous êtes conformes à la réglementation ✅.
  • Option n°2 : la procédure est clôturée avec un courrier contenant des observations ✅. C'est le cas lorsque de petits manquements sont constatés (par exemple, la CNIL peut suggérer une meilleure rédaction de la politique de confidentialité ou enjoindre de modifier la durée de conservation de certaines données personnelles).
  • Option n°3 : des manquements importants sont constatés et il existe un risque d'être sanctionné ❌.

Dans cette dernière option, la CNIL prévoit alors une sanction proportionnelle à la gravité des manquements constatés :

  • Mise en demeure : l'organisme doit se conformer au RGPD dans un délai imparti et mettre en place les mesures imposées par la CNIL. La mise en demeure peut être complétée d'une astreinte. Il s'agit d'une somme à payer par jour de retard pour contraindre l'organisme à agir rapidement (par exemple une somme de 100 euros à payer par jour de retard).

Par exemple, en février 2020, la CNIL a mis en demeure un gestionnaire de site web de se conformer au RGPD en raison de son utilisation de Google Analytics (qui est son sous-traitant et qui ne respecte pas la réglementation européenne de protection des données). L'organisme s'est vu enjoindre l'obligation de cesser d'utiliser cet outil dans le délai d'un mois (avec une astreinte en cas de dépassement de ce délai). Pour plus d'information sur cette décision, on l'a décrypté par ici.

  • Sanction pécuniaire : en cas de grave manquement à la réglementation ou à l'absence de respect de la mise en demeure, la CNIL peut prononcer des sanctions pécuniaires sous la forme d'une amende administrative.

Le montant de la sanction peut aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de la société. Pour les manquements les plus graves, ce montant peut aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

Surtout, ces sanctions peuvent être rendues publiques ce qui peut constituer une double peine sur le plan réputationnel.

Top 5 des plus grosses sanctions CNIL 2024-2025

La CNIL a prononcé des amendes record en 2025, marquant un durcissement de sa politique répressive.

  • Google - Montant : 325M€ - Motif principal : Publicités Gmail sans consentement
  • Shein - Montant : 150M€ - Motif principal : Utilisation illicite données clients
  • Orange - Montant : 50M€ - Motif principal : Prospection commerciale sans consentement
  • NexpublicaMontant : 1,7M€ - Motif principal : Sécurité insuffisante logiciel PCRM
  • American Express - Montant : 1,5M€ - Motif principal : Non-respect droits des personnes

Évolution des sanctions CNIL

2023 : 42 sanctions - 89M€ total
2024 : 87 sanctions (+107%) - 55M€ total
2025 : ~100 sanctions estimées - 478M€ total (record absolu)

Tendances 2025 :

  • ⬆️ Montants en forte hausse (record 325M€)
  • ⬆️ Nombre de sanctions simplifiées (+59% vs 2024)
  • ⬆️ Focus sur cookies/traceurs (40% des sanctions)
  • ⬆️ Sanctions vidéosurveillance (surveillance permanente salariés)
  • 🆕 Premiers contrôles AI Act (préparation 2026)

Conclusion

La CNIL est l'acteur de référence en matière de protection des données personnelles. Elle accompagne les professionnels dans leur mise en conformité et les particuliers dans l'exercice de leurs droits.

Elle ne se place en autorité de sanction que dans les hypothèses de manquement les plus graves. Sa démarche est d'avant tout suggérer aux acteurs les bonnes pratiques et les actions à mener pour se rapprocher de la conformité.

Des interrogations subsistent sur votre conformité RGPD ? Le logiciel RGPD Leto vous accompagne à chaque étape. N'hésitez pas à nous contacter pour échanger !

Questions fréquemment posées sur la CNIL

Qu'est-ce que la CNIL et quel est son rôle ?

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française indépendante chargée de veiller à la protection des données personnelles. Créée en 1978, elle a 5 missions principales : informer les citoyens et professionnels, accompagner la conformité RGPD, anticiper les évolutions technologiques, contrôler les organismes et sanctionner les manquements. Depuis 2025, elle régule également l'intelligence artificielle (AI Act).

Quelle est la différence entre la CNIL et le RGPD ?

Le RGPD (Règlement Général sur la Protection des Données) est un texte de loi européen qui définit les règles de protection des données personnelles. La CNIL est l'autorité française qui fait appliquer ce règlement en France. En résumé : le RGPD est la loi, la CNIL est le gendarme qui la fait respecter. La CNIL peut contrôler les entreprises et prononcer des sanctions jusqu'à 20 millions d'euros ou 4% du CA mondial.

Est-ce qu'un particulier peut saisir la CNIL ?

Oui, tout particulier peut saisir la CNIL gratuitement. Vous pouvez déposer une plainte si une entreprise ou un organisme ne respecte pas vos droits sur vos données personnelles : refus d'accès à vos données, impossibilité de vous désinscrire d'une newsletter, vidéosurveillance abusive, etc. La saisine se fait en ligne sur cnil.fr. En 2024, la CNIL a reçu plus de 15 000 plaintes de particuliers.

Comment faire un signalement à la CNIL ?

Pour signaler un problème à la CNIL : 1) Rendez-vous sur cnil.fr/fr/plaintes, 2) Créez un compte ou connectez-vous, 3) Décrivez votre problème et joignez les preuves (emails, captures d'écran), 4) Soumettez votre plainte. La CNIL accuse réception et peut mener une enquête. Avant de saisir la CNIL, il est recommandé de contacter d'abord l'organisme concerné pour tenter de résoudre le problème.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD et prospection BtoB : quelles règles respecter ?
29/4/2024
NIS 2 : définition et impact sur votre entreprise
18/12/2024
Courtiers de données (data brokers) : les enjeux du RGPD en 2025
17/6/2025
Finalité RGPD : Définition, Principe et Exemples Pratiques
22/5/2024
Blockchain et RGPD : problématique et solutions
17/2/2023
Guide - Claude et RGPD 2026 : Conformité, Sécurité, DPA
27/1/2026

Questions fréquemment posées

Vous avez encore des questions? Contactez-nous! Nous serons ravis de vous aider.

Qu’est-ce que Leto et à qui s’adresse la solution ?

Leto est une suite logicielle qui aide les entreprises à piloter leur conformité RGPD, la sécurité des données et la sensibilisation des équipes, sans complexité inutile.La solution s’adresse aussi bien aux PME qu’aux ETI, et accompagne les dirigeants, DPO, équipes juridiques, RH et techniques dans la mise en œuvre concrète et continue de la conformité.

Combien de temps faut-il pour mettre en place Leto ?

La prise en main est rapide. En quelques jours, vous pouvez cartographier vos traitements, structurer votre feuille de route RGPD et commencer à sensibiliser vos équipes.Leto repose sur des modèles prêts à l’emploi, une automatisation poussée et un accompagnement guidé par l’IA, ce qui réduit fortement le temps et l’effort nécessaires.

En quoi Leto est-il différent des autres outils RGPD ?

Leto ne se limite pas à produire de la documentation. La plateforme automatise les tâches chronophages, facilite la collaboration entre équipes et transforme la conformité en un processus vivant et pilotable.Avec Hari, l’IA de Leto, vous êtes guidé à chaque étape : génération de documents, réponses aux questionnaires sécurité, priorisation des actions et aide à la décision.

Mes données sont-elles en sécurité avec Leto ?

Oui. Leto est conçu selon les principes de privacy by design.La plateforme ne copie pas vos données personnelles, l’hébergement est 100 % français et les mesures de sécurité sont intégrées nativement pour garantir la confidentialité, l’intégrité et la traçabilité des informations.

Puis-je tester Leto avant de m’engager ?

Oui. Vous pouvez demander une démonstration personnalisée afin de découvrir concrètement la plateforme, ses fonctionnalités et son adéquation avec vos enjeux. Cette démo vous permet d’évaluer rapidement la valeur de Leto pour votre organisation, sans engagement.

Leto peut-il remplacer un DPO ou un cabinet de conseil RGPD ?

Leto est un outil d'aide à la conformité, pas un remplacement du DPO. La plateforme automatise les tâches chronophages et structure votre démarche, mais les décisions et analyses de fond restent de la responsabilité des équipes ou du DPO. Pour les entreprises sans DPO interne ni profil en charge du sujet RGPD, Leto propose un accompagnement complémentaire via des partenaires certifiés.

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026