CNIL : 23 sanctions en 6 mois pour vidéosurveillance, cookies et non-respect des droits
Vidéosurveillance excessive, bandeaux de cookies trompeurs, silence face aux demandes d'exercice des droits : la CNIL vient de dresser le bilan de sa procédure de sanction simplifiée depuis janvier 2026. 23 sanctions, 133 750 euros d'amendes cumulées, et un message limpide envoyé aux organisations les moins vigilantes en matière de RGPD.
Ce qui s'est passé
Depuis janvier 2026, la CNIL a prononcé 23 nouvelles sanctions dans le cadre de sa procédure simplifiée, une voie accélérée créée en 2022 pour traiter les dossiers ne présentant pas de difficulté juridique particulière. Contrairement à la procédure ordinaire, un seul membre de la formation restreinte décide de la sanction, plafonnée à 20 000 euros, sans publication du nom de l'organisme condamné.
Trois grands motifs ressortent de ce bilan. D'abord, la vidéosurveillance des salariés : plusieurs entreprises de restauration rapide, de transport urbain ou de commerces en gare ont filmé leurs employés en continu, sans justification exceptionnelle, en violation du principe de minimisation (article 5.1.c du RGPD). Ensuite, les cookies : des sites de billetterie et de télémarketing affichaient des bandeaux incomplets, avec un bouton d'acceptation immédiate mais un refus nécessitant plusieurs clics — un mécanisme jugé contraire à l'article 82 de la loi Informatique et Libertés. Enfin, sur les 23 sanctions, 8 concernent des manquements aux droits d'accès ou d'effacement, dont 4 assorties d'un défaut de coopération avec la CNIL, certaines ayant donné lieu à une astreinte financière.
Pourquoi c'est important
Ce bilan confirme que la CNIL mise sur le volume plutôt que sur l'exemplarité pour faire respecter le RGPD au quotidien. La procédure simplifiée lui permet de sanctionner rapidement des manquements récurrents, souvent issus de plaintes de particuliers (19 des 23 dossiers). Le message est clair : les sujets les plus banals du quotidien RGPD — cookies, vidéosurveillance, réponse aux demandes de droits — restent les premiers terrains de contrôle, bien avant les grandes affaires médiatisées.
Le RGPD encadre strictement l'exercice des droits des personnes : le droit d'accès (article 15) et le droit à l'effacement (article 17) doivent recevoir une réponse dans un délai d'un mois, faute de quoi l'organisme s'expose à une sanction — et l'absence de réponse à une injonction de la CNIL aggrave systématiquement la note, comme l'illustrait déjà la sanction de 30 000 euros infligée à Vodafone-Panafon en Grèce pour des manquements similaires.
Ce que ça change pour les organisations
Concrètement, trois vérifications s'imposent pour éviter de rejoindre ce bilan. Sur la vidéosurveillance, il faut s'assurer que les caméras ne filment jamais en continu les postes de travail sans justification documentée, et que toute autorisation préfectorale requise a bien été obtenue. Sur les cookies, le bouton de refus doit être aussi accessible que celui d'acceptation — un seul clic pour chaque option, sans passer par un sous-menu de personnalisation. Sur les droits des personnes, chaque demande d'accès ou d'effacement doit être tracée et traitée dans le mois, avec une procédure claire de réponse aux sollicitations de la CNIL en cas de plainte.
Ces trois points ont un dénominateur commun : ce sont des irritants simples à corriger, qui ne nécessitent ni gros budget ni AIPD complexe. C'est précisément pour cela que la CNIL les traite en procédure accélérée — et que leur négligence coûte cher, en amende comme en image.
Ce que Leto pense de cette décision
Ce bilan rappelle une évidence trop souvent oubliée : la conformité RGPD se joue davantage sur les fondamentaux mal exécutés que sur des cas exotiques. Un bandeau cookies bancal ou une réponse en retard au droit d'accès pèsent autant, en probabilité de sanction, qu'un traitement de données sensibles mal encadré. Pour les DPO et responsables conformité, le message est net : auditer en priorité les irritants du quotidien plutôt que d'attendre le prochain texte réglementaire pour se mettre en mouvement.
Sources : CNIL, 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée

