CNIL 2026 : 47 millions d’euros de sanctions en un trimestre — ce que les décisions révèlent

14/4/26
👈 les autres actualités

Depuis janvier 2026, la CNIL a prononcé plus de 47 millions d’euros de sanctions. Deux opérateurs télécoms se retrouvent seuls à payer 42 millions d’euros en janvier. Derrière ces chiffres, un message sans ambiguïté : les mêmes manquements reviennent en boucle, et les organisations qui ne les corrigent pas maintenant en paieront le prix.

Ce qui s’est passé

Le premier trimestre 2026 marque un tournant dans l’activité répressive de la CNIL. En à peine trois mois, la formation restreinte a rendu plus d’une quinzaine de décisions.

La sanction la plus lourde — 27 millions d’euros — a été infligée le 8 janvier à un opérateur de téléphonie mobile pour trois manquements cumulés : une durée de conservation excessive des données, un défaut de sécurité caractérisé, et le manquement à l’obligation de notifier une violation de données aux personnes concernées. Le même jour, un opérateur de téléphonie fixe écope de 15 millions d’euros pour des violations similaires.

Le 22 janvier, un établissement public administratif reçoit une amende de 5 millions d’euros pour défaut de sécurité. Le 12 mars, c’est un ministère qui reçoit un rappel à l’ordre assorti d’une injonction, sans amende mais avec une obligation de mise en conformité formelle.

Plus récemment, le 2 avril 2026, une société est sanctionnée à 7 500 euros pour un cumul de manquements : vidéoprotection non conforme, minimisation des données insuffisante et — fait notable — absence d’analyse d’impact sur la protection des données (AIPD) alors qu’elle était requise.

Pourquoi c’est important

La lecture transversale de ces décisions révèle trois familles de manquements qui dominent le premier trimestre 2026.

Le défaut de sécurité des données est de loin le motif le plus récurrent. Il concerne les deux opérateurs télécoms, l’établissement public et plusieurs PME sanctionnées en procédure simplifiée. L’article 32 du RGPD impose à tout responsable de traitement de mettre en œuvre des mesures de sécurité adaptées au risque : chiffrement, contrôle des accès, gestion des incidents. La CNIL vérifie ces points systématiquement lors de ses contrôles et les défaillances s’accompagnent presque toujours d’autres violations en cascade.

La durée de conservation est citée dans la moitié des décisions significatives. Opérateurs télécoms, ministère, société d’hébergement touristique : tous conservent des données au-delà de ce que justifient les finalités du traitement. C’est un manquement que la CNIL repère facilement — le registre des traitements suffit souvent à le documenter — et qui s’accompagne fréquemment d’autres violations.

L’obligation de notification des violations de données est au cœur des deux sanctions majeures de janvier. L’article 33 du RGPD impose de notifier toute violation à la CNIL dans les 72 heures. L’article 34 impose, dans les cas les plus graves, d’informer également les personnes concernées. Ne pas le faire — ou le faire trop tard — aggrave systématiquement la sanction.

Ce que ça change pour les organisations

Concrètement, le bilan du premier trimestre 2026 invite les DPO et responsables conformité à prioriser trois chantiers immédiats.

D’abord, auditer les durées de conservation : mettre à jour le registre des traitements et documenter la base juridique des durées appliquées. Un registre incomplet ou périmé est le premier signe que les délais de conservation n’ont pas été revu depuis la mise en place du RGPD.

Ensuite, tester le plan de réponse aux incidents : la procédure doit être claire, testée, avec des délais de notification respectés (72h pour la CNIL, information immédiate des personnes si risque élevé). Les décisions de janvier montrent que la CNIL ne tolère plus l’improvisation sur ce point.

Enfin, vérifier les obligations AIPD : la décision du 2 avril rappelle que l’absence d’analyse d’impact quand elle est requise est un manquement sanctionnable en lui-même, indépendamment de toute autre violation. Certains traitements y sont soumis de droit, notamment la vidéosurveillance à grande échelle ou le traitement de données sensibles.

Ce que Leto pense de cette décision

La CNIL ne fait pas de pédagogie avec ses amendes : elle sanctionne. Et ce premier trimestre 2026 le confirme, avec 47 millions d’euros en trois mois et des secteurs aussi variés que les télécoms, les administrations publiques ou les petits commerces. La conformité RGPD n’est pas un projet qu’on fait une fois et qu’on range dans un tiroir : c’est un état permanent à maintenir. Les organisations qui ont installé un registre des traitements il y a cinq ans et ne l’ont plus touché depuis courent un risque réel. Il est temps de reprendre l’audit.

Sources : Décisions de sanction CNIL 2026 — CNIL, mis à jour le 14 avril 2026.

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026