CNIL : Définition, Rôle et Missions [Guide 2026]

4/6/2026
Tous les guides
📚 Notions de base

Mise à jour juin 2026 : chiffres du bilan CNIL 2025 (486,8 millions d'euros d'amendes, 83 sanctions), nouveau rôle de régulateur de l'AI Act depuis août 2025 et section pratique pour les DPO.

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française chargée de veiller à la protection des données personnelles. Pour un DPO, ce n'est pas une notion abstraite : c'est l'institution qui contrôle votre conformité, reçoit vos notifications de violation et peut sanctionner votre organisation. Créée en 1978, elle a vu son pouvoir de sanction monter en puissance avec le RGPD, jusqu'à un montant record de 486,8 millions d'euros d'amendes prononcées en 2025.

Ce guide couvre la définition de la CNIL, ses missions et ses pouvoirs, les chiffres clés de son bilan 2025, son nouveau rôle sur l'AI Act, et surtout les démarches concrètes qui rythment le quotidien d'un DPO face à elle.

Définition de la CNIL

Le sigle CNIL signifie Commission Nationale de l'Informatique et des Libertés. Sa mission première est de veiller à ce que les traitements de données personnelles, qu'ils soient mis en oeuvre par des organismes publics ou privés, respectent les droits et libertés des personnes.

La CNIL a été créée par la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite "loi Informatique et Libertés". Il s'agit de la première législation française sur la protection des données informatiques, bien avant la réglementation européenne. Cette loi a depuis été modifiée à plusieurs reprises, notamment lors de l'entrée en application du Règlement Général sur la Protection des Données (RGPD) en mai 2018, auquel elle renvoie désormais expressément.

La CNIL est une autorité administrative indépendante (AAI) : elle ne reçoit aucune instruction de l'État et reste libre de ses prises de position et de ses décisions. Elle est composée de 18 membres issus notamment de l'Assemblée nationale, du Sénat, du Conseil d'État, de la Cour de cassation et de la Cour des comptes.

Le rôle et les missions de la CNIL

La CNIL veille à la protection des données à caractère personnel contenues dans les fichiers et traitements, informatiques ou papier. Pour rappel, une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (article 4 du RGPD). Ses missions se déclinent en cinq grands axes.

Mission 1 : informer les particuliers et les professionnels

La CNIL informe les personnes sur leurs droits et les organismes sur leurs obligations. Elle recueille notamment les plaintes des particuliers qui ne parviennent pas à exercer leurs droits, par exemple l'effacement de leurs données auprès d'une entreprise.

Mission 2 : accompagner la mise en conformité

La CNIL accompagne les professionnels dans leur conformité (référentiels, recommandations, modèles) et conseille le Gouvernement lors de la rédaction de nouveaux textes. Elle publie des avis sur les projets de loi ou de décret touchant à la protection des données.

Mission 3 : anticiper les évolutions technologiques

La CNIL intervient sur les sujets émergents afin que le développement des nouvelles technologies se fasse dans le respect des données personnelles. Elle anime une réflexion prospective, par exemple sur l'intelligence artificielle ou la biométrie.

Mission 4 : contrôler et sanctionner

La CNIL procède à des contrôles auprès des responsables de traitement et de leurs sous-traitants pour vérifier leur conformité. Ces contrôles sont décidés à son initiative, à la suite de plaintes ou en application de son programme annuel. En cas de manquement grave, elle peut prononcer une sanction.

Mission 5 : réguler l'intelligence artificielle

Depuis août 2025, la CNIL est l'autorité française chargée de faire respecter le règlement européen sur l'intelligence artificielle (AI Act) pour plusieurs systèmes d'IA à haut risque (biométrie, ressources humaines, scoring). Elle dispose ainsi d'un double pouvoir de contrôle et de sanction, sur le terrain du RGPD comme sur celui de l'AI Act.

La CNIL et l'AI Act : un double pouvoir depuis 2025

L'entrée en application progressive de l'AI Act a élargi le périmètre d'intervention de la CNIL. Elle est désignée comme l'une des autorités de contrôle de l'IA en France, en particulier pour les usages les plus sensibles :

  • la catégorisation biométrique des personnes ;
  • la reconnaissance des émotions, notamment au travail et dans l'éducation ;
  • les systèmes de notation sociale ;
  • l'identification biométrique à distance ;
  • certains usages d'IA en matière de ressources humaines et d'accès au crédit.

Concrètement, si votre organisation déploie une IA à haut risque (tri automatisé de candidatures, scoring, biométrie), la CNIL peut désormais vous contrôler à la fois sous l'angle du RGPD et sous celui de l'AI Act. Les plafonds de sanction se cumulent : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial au titre du RGPD (article 83), et jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial pour les pratiques d'IA interdites (article 99 de l'AI Act). Avant tout déploiement d'un système à risque, une analyse d'impact (AIPD) reste le préalable incontournable.

Les pouvoirs de contrôle de la CNIL

Le contrôle est le coeur de l'action répressive de la CNIL. Il peut viser tout organisme traitant des données personnelles en France (entreprise, administration, association) ainsi que ses sous-traitants.

Les quatre formes de contrôle

La CNIL dispose de quatre modes d'investigation, qu'elle combine selon les dossiers :

  • Le contrôle sur place : les agents de la CNIL se rendent dans les locaux de l'organisme pour accéder aux traitements, aux matériels et aux documents.
  • Le contrôle sur pièces : la CNIL demande la communication de documents et de réponses écrites, sans déplacement.
  • Le contrôle sur audition : le responsable de traitement est auditionné dans les locaux de la CNIL.
  • Le contrôle en ligne : les agents vérifient directement depuis internet, par exemple la bannière cookies ou la politique de confidentialité d'un site.

Préavis et opposition

En principe, le responsable de traitement est informé peu avant un contrôle sur place. Mais la CNIL peut intervenir sans préavis lorsque l'information préalable risquerait de compromettre l'efficacité du contrôle. S'opposer à un contrôle de la CNIL constitue une infraction pénale, punie d'un an d'emprisonnement et de 15 000 euros d'amende (article 226-22-2 du code pénal).

Le guichet unique et la coopération européenne

Lorsqu'un traitement est transfrontalier, c'est-à-dire qu'il concerne des personnes situées dans plusieurs États membres, le RGPD organise une coopération entre autorités via le mécanisme du guichet unique. L'autorité chef de file (souvent celle du pays où l'organisme a son établissement principal) pilote le dossier, en lien avec les autorités concernées. En 2025, quatre des sanctions prononcées par la CNIL en procédure ordinaire l'ont été dans ce cadre coopératif, et la CNIL a examiné neuf projets de décision de ses homologues européens portant sur des traitements touchant des personnes résidant en France. Pour un DPO d'un groupe présent dans plusieurs pays, identifier l'autorité chef de file et le point de contact côté CNIL fait partie de la cartographie de conformité.

Le pouvoir de sanction de la CNIL

À l'issue d'un contrôle, plusieurs suites sont possibles selon la gravité des manquements constatés.

De la clôture à la sanction

  • Aucun manquement : la procédure est clôturée.
  • Manquements mineurs : clôture assortie d'observations, par exemple une demande d'amélioration de la politique de confidentialité.
  • Manquements importants : mise en demeure de se conformer dans un délai imparti, le cas échéant sous astreinte, puis sanction en l'absence de régularisation ou en cas de manquement grave.

Les plafonds des amendes

L'amende administrative est plafonnée par l'article 83 du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les manquements de premier niveau, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les plus graves. La CNIL peut aussi prononcer une injonction sous astreinte, limiter ou suspendre un traitement, et rendre ses décisions publiques. Le détail des montants et des critères figure dans notre guide dédié aux sanctions RGPD.

Chiffres clés : le bilan CNIL 2025

Le 9 février 2026, la CNIL a publié son bilan répressif pour l'année 2025. Il confirme un durcissement net de son action, tiré par deux sanctions majeures.

Sanctions et amendes 2025

  • 486,8 millions d'euros d'amendes cumulées, un montant record (contre 55,2 millions en 2024 et 89,2 millions en 2023).
  • 83 sanctions prononcées, dont 67 via la procédure simplifiée (amende plafonnée à 20 000 euros).
  • Deux décisions concentrent près des trois quarts du total : Google (325 millions d'euros) et Shein (150 millions d'euros), toutes deux prononcées le 3 septembre 2025 pour non-respect des règles sur les cookies.
  • 16 organismes sanctionnés pour vidéosurveillance illégale des salariés.

La tendance se poursuit en 2026, avec par exemple une amende de 5 millions d'euros prononcée contre France Travail le 29 janvier 2026 pour défaut de sécurité.

Contrôles, plaintes et violations

  • 259 décisions rendues en 2025, dont 83 sanctions, 143 mises en demeure et 31 rappels aux obligations légales.
  • 323 contrôles menés sur l'année.
  • 20 150 plaintes reçues, un record (environ 10 % de plus qu'en 2024).
  • 6 167 notifications de violations de données, le plus haut niveau jamais enregistré.

Les thématiques prioritaires de contrôle

Chaque année, la CNIL cible des thématiques prioritaires. Les contrôles récents portent en particulier sur les cookies et traceurs, la surveillance des salariés, la sécurité des données, la protection des mineurs en ligne et les usages d'intelligence artificielle. Les sources de la CNIL sont disponibles sur son bilan des sanctions 2025.

La CNIL au quotidien du DPO : 3 démarches pratiques

Au-delà des principes, le DPO interagit avec la CNIL à travers quelques démarches précises. En voici trois qui structurent le quotidien.

Déclarer et positionner son DPO

La désignation d'un délégué à la protection des données est obligatoire dans trois cas prévus par l'article 37 du RGPD : pour les autorités et organismes publics, lorsque l'activité implique un suivi régulier et systématique à grande échelle des personnes, ou lorsqu'elle implique un traitement à grande échelle de données sensibles. Attention à une confusion fréquente : le seuil de 250 salariés ne concerne pas l'obligation de DPO, mais une exemption partielle de tenue du registre. Une fois désigné, le DPO doit être déclaré à la CNIL via le téléservice dédié, et son rôle, ses missions et son positionnement sont détaillés dans notre guide sur le rôle et les missions du DPO.

Notifier une violation de données sous 72 heures

En cas de violation de données personnelles (perte, fuite, accès non autorisé), le responsable de traitement doit, sauf si la violation n'est pas susceptible d'engendrer un risque, la notifier à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance (article 33 du RGPD). Si le risque pour les personnes est élevé, celles-ci doivent également être informées. Le DPO pilote cette procédure, documente l'incident dans le registre des violations et arbitre la communication. La marche à suivre est détaillée dans notre guide sur la conduite à tenir en cas de violation de données personnelles.

Se préparer à un contrôle

Un contrôle peut survenir à tout moment. La meilleure préparation est documentaire : registre des traitements à jour (article 30 du RGPD), AIPD pour les traitements à risque, contrats de sous-traitance conformes à l'article 28, politique de confidentialité, registre des violations et preuves de sensibilisation des équipes. Un dispositif outillé et tenu à jour permet de répondre vite et de démontrer la conformité, ce qui est souvent l'élément le plus scruté lors d'un contrôle. Concrètement, lorsqu'un contrôle est annoncé, la CNIL adresse généralement une demande de pièces ou se présente avec un ordre de mission. Le DPO centralise alors les réponses, fait le lien avec les équipes techniques et juridiques, et veille à ce que chaque affirmation soit étayée par une preuve documentaire datée. Mieux vaut avoir préparé ces éléments en amont que de les reconstituer dans l'urgence d'un délai de réponse de quelques jours.

Comment réduire le risque de contrôle et de sanction

Aucune organisation n'est à l'abri d'un contrôle, mais plusieurs bonnes pratiques réduisent nettement le risque et l'exposition en cas de manquement :

  • Désigner un DPO lorsque les critères de l'article 37 sont réunis, et lui donner les moyens d'agir.
  • Tenir le registre des traitements à jour : c'est le premier document demandé lors d'un contrôle.
  • Documenter la conformité : AIPD, contrats de sous-traitance, politique de confidentialité, registre des violations.
  • Sécuriser les données : chiffrement, authentification renforcée, sauvegardes, plan de réponse aux incidents.
  • Respecter les droits des personnes : traiter les demandes d'accès, de rectification et d'effacement dans le délai d'un mois.
  • Sensibiliser les équipes : l'erreur humaine reste la première cause d'incident.

Pour un DPO, le sujet n'est pas seulement défensif. Pouvoir prouver rapidement sa conformité est devenu un argument commercial, de plus en plus de prospects exigeant des garanties dans leurs questionnaires sécurité. Le logiciel RGPD de Leto aide à centraliser le registre, les analyses d'impact et le suivi des sous-traitants pour rendre cette preuve immédiate.

Conclusion

La CNIL reste l'acteur de référence de la protection des données en France. Si elle privilégie l'accompagnement et la pédagogie, son bilan 2025 montre qu'elle n'hésite plus à sanctionner lourdement les manquements les plus graves, et son nouveau rôle sur l'AI Act élargit encore son champ d'action. Pour un DPO, la meilleure posture reste la même : une conformité documentée, pilotée et maintenue dans le temps, capable de résister à un contrôle comme de rassurer un client.

Questions fréquemment posées

Qu'est-ce que la CNIL et quel est son rôle ?

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité française indépendante chargée de veiller à la protection des données personnelles. Créée en 1978, elle a cinq missions principales : informer les particuliers et les professionnels, accompagner la conformité au RGPD, anticiper les évolutions technologiques, contrôler les organismes et sanctionner les manquements. Depuis août 2025, elle régule également certains systèmes d'intelligence artificielle au titre de l'AI Act.

Quelle est la différence entre la CNIL et le RGPD ?

Le RGPD est un règlement européen qui définit les règles de protection des données personnelles. La CNIL est l'autorité française qui fait appliquer ce règlement en France. En résumé, le RGPD est la loi et la CNIL est l'autorité qui la fait respecter. La CNIL peut contrôler les organisations et prononcer des sanctions allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial.

Quels sont les pouvoirs de contrôle de la CNIL ?

La CNIL peut contrôler tout organisme traitant des données personnelles, ainsi que ses sous-traitants, selon quatre modalités : sur place (dans les locaux), sur pièces (communication de documents), sur audition (dans les locaux de la CNIL) et en ligne (vérifications depuis internet). Elle agit de sa propre initiative, à la suite de plaintes ou dans le cadre de son programme annuel de contrôles.

Comment notifier une violation de données à la CNIL ?

En cas de violation de données personnelles susceptible d'engendrer un risque pour les personnes, le responsable de traitement doit la notifier à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. La notification se fait via le téléservice de la CNIL. Si le risque est élevé, les personnes concernées doivent également être informées. Le DPO documente l'incident dans le registre des violations.

Combien peut coûter une sanction de la CNIL en 2026 ?

Le montant dépend de la gravité du manquement. L'amende peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour un manquement de premier niveau, et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial pour les plus graves (article 83 du RGPD). En 2025, la CNIL a prononcé 486,8 millions d'euros d'amendes au total, dont 325 millions pour Google et 150 millions pour Shein.

La CNIL peut-elle contrôler une entreprise sans préavis ?

En principe, l'organisme est informé peu avant un contrôle sur place. Toutefois, la CNIL peut intervenir sans préavis lorsque l'information préalable risquerait de compromettre l'efficacité du contrôle. S'opposer à un contrôle de la CNIL est une infraction pénale, punie d'un an d'emprisonnement et de 15 000 euros d'amende (article 226-22-2 du code pénal).

Est-ce qu'un particulier peut saisir la CNIL ?

Oui, tout particulier peut saisir la CNIL gratuitement. Il peut déposer une plainte si une entreprise ou un organisme ne respecte pas ses droits sur ses données : refus d'accès, impossibilité de se désinscrire d'une newsletter, vidéosurveillance abusive, entre autres. La saisine se fait en ligne sur cnil.fr. En 2025, la CNIL a reçu plus de 20 000 plaintes de particuliers.

Comment faire un signalement à la CNIL ?

Pour signaler un problème à la CNIL, rendez-vous sur cnil.fr, créez un compte ou connectez-vous, décrivez votre problème et joignez les preuves utiles (emails, captures d'écran), puis soumettez votre plainte. La CNIL en accuse réception et peut mener une enquête. Avant de la saisir, il est recommandé de contacter d'abord l'organisme concerné pour tenter de résoudre le problème à l'amiable.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

RGPD : quelle est la durée de conservation de vos données ?
26/1/2024
AI Act : quelles sont autorités compétentes en France ?
15/9/2025
Loi Sapin 2 : tout comprendre sur la loi anticorruption française
11/5/2026
Data protection officer (DPO) : rôle et missions
13/3/2023
Blanchiment d'argent : qu'est-ce que c'est et comment le détecter en entreprise ?
18/5/2026
Tout savoir sur les données personnelles : définition, exemples et enjeux 2026
23/12/2022

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026