Vidéosurveillance, cookies… la CNIL serre la vis

Entre janvier et juillet 2026, la CNIL a prononcé 23 sanctions via sa procédure simplifiée, totalisant 133 750 euros d’amendes. Vidéosurveillance abusive, cookies non conformes et refus de coopération : trois infractions qui coûtent cher aux entreprises et rappellent que la conformité RGPD relève désormais de la gouvernance stratégique.

Publié le
Lecture : 4 min
Protection des données : Privacy International saisit la CNIL contre « Doctissimo »
Vidéosurveillance, cookies… la CNIL serre la vis © RSE Magazine

Entre janvier et juillet 2026, la CNIL a prononcé 23 sanctions via sa procédure simplifiée, pour un total de 133 750 euros d’amendes. Vidéosurveillance abusive des salariés, cookies non conformes et refus de coopération avec l’autorité : trois infractions qui coûtent cher aux entreprises. Pour les dirigeants, le message est sans équivoque : la conformité RGPD relève désormais de la gouvernance stratégique, pas seulement de la conformité juridique.

La procédure simplifiée : un outil de répression rapide et efficace

Comment fonctionne cette procédure et pourquoi elle cible les entreprises

Instaurée en 2022, la procédure simplifiée de sanction permet à la CNIL de traiter rapidement les dossiers ne présentant pas de difficulté juridique particulière. Contrairement à la procédure ordinaire qui implique une audience collégiale de la formation restreinte, la procédure simplifiée repose sur une décision unilatérale du président ou d’un membre désigné. Les amendes sont plafonnées à 20 000 euros et le nom de l’organisme sanctionné n’est pas divulgué publiquement. Sur les 23 sanctions prononcées depuis janvier 2026, 19 trouvent leur origine dans des plaintes de particuliers, démontrant l’efficacité du signalement citoyen. Les amendes, recouvrées par le Trésor public, alimentent le budget de l’État. Pour les entreprises, cette procédure accélérée signifie que les manquements courants sont désormais sanctionnés en quelques mois, contre plusieurs années auparavant.

Les trois risques majeurs identifiés par la CNIL en 2026

Vidéosurveillance permanente des salariés : le piège de la proportionnalité

Plusieurs entreprises de restauration rapide, de transport urbain et de commerces en gare ont été sanctionnées pour surveillance vidéo permanente sans justification. La CNIL rappelle que « les caméras ne doivent en aucun cas filmer en permanence les salariés si aucune circonstance exceptionnelle ne le justifie ». Le principe de minimisation des données, pilier du RGPD, impose de limiter la collecte au strict nécessaire. Filmer en continu les employés à leur poste constitue une atteinte disproportionnée à leur vie privée, sauf circonstances exceptionnelles (manipulation d’argent liquide, risque terroriste avéré). Les dirigeants doivent privilégier des solutions alternatives : enregistrement déclenché par détection de mouvement, floutage des zones de travail, limitation des durées de conservation.

Cookies non conformes : l’obligation d’une alternative au consentement

Des sites de billetterie en ligne et de télémarketing ont été sanctionnés pour dépôt de cookies publicitaires sans consentement préalable. La CNIL exige que « si un site présente un moyen pour accepter tous les cookies en un clic, elle doit également permettre de tous les refuser en un clic ». Le refus doit être aussi simple que l’acceptation, sans manipulation ni « dark pattern » orientant l’utilisateur vers le consentement. Les plaintes des particuliers ciblent particulièrement les bannières trompeuses et les boutons « refuser » cachés ou complexes. Pour les responsables marketing, l’enjeu dépasse la conformité technique : il s’agit de préserver la confiance des clients et d’éviter un risque réputationnel majeur.

Défaut de coopération : quand l’entreprise refuse de répondre à la CNIL

Huit des 23 sanctions concernent le non-respect des droits d’accès ou d’effacement, dont quatre assorties d’un défaut de coopération avec la CNIL. Ignorer une mise en demeure ou refuser de transmettre les documents demandés lors d’un contrôle aggrave considérablement la sanction. Les entreprises doivent mettre en place des procédures robustes pour traiter les demandes d’exercice de droits dans les délais légaux (un mois, renouvelable une fois). Le défaut de coopération révèle souvent une désorganisation interne ou une absence de responsable désigné pour gérer les relations avec l’autorité. Pour les dirigeants, il s’agit d’un signal d’alerte : les manquements à la sécurité des données peuvent coûter bien plus cher en procédure ordinaire.

Secteurs exposés et études de cas

Restauration rapide et transport urbain : pourquoi la surveillance excessive coûte cher

Les secteurs à forte rotation de personnel et à horaires décalés multiplient les risques. Dans la restauration rapide, la tentation de surveiller en permanence les caisses et les postes de préparation se heurte au principe de proportionnalité. Dans le transport urbain, filmer les conducteurs ou les agents d’accueil sans justification liée à la sécurité des biens et des personnes constitue un manquement sanctionnable. Les commerces en gare, soumis au plan Vigipirate, bénéficient d’une tolérance pour la surveillance des espaces publics, mais pas des zones de travail des salariés. Les amendes prononcées oscillent entre 2 000 et 15 000 euros selon la gravité et la récurrence du manquement.

Sites de billetterie et de télémarketing : les pièges des cookies publicitaires

Les plateformes de vente en ligne et les services de télémarketing accumulent les données comportementales pour affiner leur ciblage publicitaire. Le dépôt de cookies tiers sans consentement préalable, la complexification du refus ou l’absence d’information claire sur les finalités constituent autant de violations sanctionnées. La CNIL multiplie les sanctions sur ces pratiques depuis 2025, année record avec 1,15 milliard d’euros d’amendes RGPD prononcées par les autorités européennes. Les responsables doivent auditer régulièrement leurs outils de gestion du consentement (CMP) et vérifier que les prestataires tiers respectent les règles.

Montants des amendes et impact budgétaire

De 2 000 à 20 000 euros : comment la CNIL calibre ses sanctions

Les amendes prononcées en procédure simplifiée varient selon la gravité du manquement, la taille de l’entreprise, le nombre de personnes concernées et la récidive éventuelle. Le plafond de 20 000 euros reste modeste comparé aux sanctions ordinaires (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial). Mais pour une PME, une amende de 10 000 euros représente un coût significatif, auquel s’ajoutent les frais de mise en conformité, l’audit juridique et la perte de temps des équipes. Les 133 750 euros cumulés depuis janvier 2026 illustrent une répression ciblée sur des infractions courantes, accessibles à la correction rapide. Pour les dirigeants, l’enjeu financier direct reste limité, mais le risque réputationnel et la mobilisation des ressources internes pèsent lourd.

Recommandations pour les dirigeants et responsables

Audit de conformité : les cinq points à vérifier immédiatement

Premièrement, cartographier tous les dispositifs de vidéosurveillance et vérifier leur justification au regard du principe de proportionnalité. Deuxièmement, auditer les bannières cookies et s’assurer que le refus est aussi simple que l’acceptation. Troisièmement, tester les procédures de réponse aux demandes d’exercice de droits (accès, effacement, rectification). Quatrièmement, désigner un responsable de la conformité RGPD et former les équipes opérationnelles. Cinquièmement, documenter toutes les décisions et conserver les preuves de conformité en cas de contrôle. Les employés n’ont pas renoncé à leurs données personnelles, et les plaintes se multiplient.

Droits d’accès et d’effacement : comment mettre en place une procédure robuste

Mettre en place un formulaire dédié, accessible depuis le site web et les supports de communication interne. Désigner un référent chargé de traiter les demandes dans les délais légaux (un mois maximum). Prévoir une procédure de vérification d’identité proportionnée au risque. Documenter chaque demande et chaque réponse pour prouver la conformité en cas de contrôle. Former les équipes RH, juridiques et IT à identifier les données concernées et à les extraire ou les effacer selon la demande. Anticiper les situations complexes (données archivées, obligations légales de conservation) en consultant un juriste spécialisé. La coopération avec la CNIL en cas de mise en demeure doit être totale et transparente : fournir les documents demandés, expliquer les mesures correctives, proposer un calendrier de mise en conformité.

Laisser un commentaire