La CNIL est l’autorité française chargée de veiller au respect du RGPD. Elle dispose de pouvoirs étendus : contrôle sur place, mise en demeure, amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En 2024, elle a prononcé 87 sanctions. En 2025, le montant total des amendes a atteint un niveau record de 486,8 millions d’euros.
Quelles sont exactement vos obligations vis-à-vis de la CNIL en 2026 ? Ce guide fait le point.
1. La CNIL : rôle et pouvoirs
La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française chargée d’appliquer le RGPD sur le territoire national. Elle a été créée par la loi Informatique et Libertés du 6 janvier 1978.
Ses missions principales sont : informer et conseiller les organismes et les particuliers sur leurs droits et obligations, contrôler le respect des règles de protection des données, sanctionner les organismes qui ne les respectent pas, et contribuer à l’élaboration des règles européennes.
Ses pouvoirs de sanction incluent : la mise en demeure (injonction de se mettre en conformité dans un délai fixé), l’avertissement, l’amende administrative jusqu’à 20 millions d’euros ou 4 % du CA mondial, l’injonction de cesser un traitement, et la limitation ou l’interdiction d’un traitement.
2. Les 6 obligations principales des entreprises vis-à-vis de la CNIL
2.1 Tenir un registre des activités de traitement (Art. 30 RGPD)
C’est l’obligation de base. Toute organisation traitant des données personnelles doit documenter ses traitements dans un registre. Ce document doit pouvoir être présenté à la CNIL sur demande lors d’un contrôle. Son absence constitue un manquement direct et sanctionnable.
Le registre doit indiquer, pour chaque traitement : la finalité, les catégories de personnes et de données concernées, les destinataires, les durées de conservation, et les mesures de sécurité mises en place.
2.2 Informer les personnes dont vous traitez les données (Art. 13 et 14 RGPD)
Vous devez informer de manière claire et accessible toute personne dont vous collectez les données : clients, prospects, salariés, internautes… Cette information se matérialise par une politique de confidentialité sur votre site web, des mentions d’information sur vos formulaires, et des clauses dans vos contrats de travail.
L’information doit couvrir : l’identité du responsable de traitement, les finalités, la base légale, la durée de conservation, les droits des personnes, et comment les exercer.
2.3 Permettre l’exercice des droits des personnes (Art. 15 à 22 RGPD)
Les personnes dont vous traitez les données disposent de droits qu’elles peuvent exercer à tout moment : droit d’accès, de rectification, d’effacement (droit à l’oubli), d’opposition, de limitation du traitement, de portabilité.
Vous devez répondre à ces demandes dans un délai d’un mois (extensible à 3 mois pour les demandes complexes). Le non-respect du droit d’opposition et du droit d’effacement est l’une des principales causes de plainte auprès de la CNIL.
2.4 Sécuriser les données (Art. 32 RGPD)
Vous devez mettre en place des mesures techniques et organisationnelles appropriées pour protéger les données contre les accès non autorisés, la perte, la destruction, ou la divulgation accidentelle.
Les mesures attendues dépendent de la sensibilité des données et des risques. Pour une TPE ou PME, elles incluent généralement : mots de passe solides et uniques, authentification à deux facteurs sur les outils sensibles, chiffrement des données sensibles, sauvegardes régulières et testées, gestion des accès (qui a accès à quoi).
2.5 Encadrer vos sous-traitants (Art. 28 RGPD)
Si vous confiez à un prestataire le traitement de données pour votre compte — hébergeur, logiciel de paie en SaaS, outil CRM, prestataire informatique… — vous devez conclure avec lui un accord de traitement de données (DPA, Data Processing Agreement). Ce document formalise les obligations du prestataire en matière de protection des données.
Sans DPA, votre responsabilité peut être engagée en cas d’incident chez votre prestataire.
2.6 Notifier les violations de données (Art. 33 et 34 RGPD)
En cas de violation de données personnelles (cyberattaque, fuite, perte d’un ordinateur non chiffré…), vous avez 72 heures à compter de la découverte pour notifier la CNIL via son téléservice en ligne. Si la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, vous devez également les informer directement.
Mettez votre entreprise en conformité avec les exigences de la CNIL en 30 minutes :
Créer mon registre RGPD — 149 EUR HT
3. Ce que la CNIL contrôle en priorité en 2026
La CNIL publie chaque année ses thématiques de contrôle prioritaires. Pour 2025-2026, les axes majeurs sont :
Les cookies et traceurs : la gestion du consentement sur les sites web reste un point de contrôle fréquent.
La prospection commerciale : l’utilisation des données pour le démarchage, notamment par email et téléphone.
La surveillance des salariés : les outils de monitoring de l’activité des employés en télétravail.
La sécurité des données : les mesures de protection, notamment face aux cyberattaques.
Les droits des personnes : la réponse aux demandes d’accès, d’effacement et d’opposition.
4. Comment la CNIL ouvre-t-elle un dossier ?
Un contrôle CNIL peut s’ouvrir de trois façons :
Suite à une plainte d’un particulier : c’est la source la plus fréquente. Un client mécontent, un ancien salarié, ou un prospect qui n’arrive pas à exercer ses droits peut saisir la CNIL.
Sur initiative propre de la CNIL : la Commission effectue des contrôles programmés sur des secteurs ou thématiques prioritaires.
Suite à un signalement : médias, autorités publiques ou autres organismes peuvent alerter la CNIL sur une pratique suspecte.
Contrairement à une idée reçue, la CNIL ne se concentre pas uniquement sur les grandes entreprises. La procédure simplifiée mise en place en 2022 lui permet de traiter rapidement les dossiers impliquant des petites structures.
5. FAQ
La CNIL peut-elle contrôler mon entreprise sans prévenir ?
Oui. La CNIL peut effectuer des contrôles sur place sans notification préalable, sur convocation, ou à distance. Elle peut également effectuer des contrôles en ligne sans s’identifier.
Combien de temps ai-je pour répondre à une mise en demeure de la CNIL ?
Le délai est fixé par la CNIL dans la décision de mise en demeure. Il est généralement de 1 à 3 mois selon la complexité des manquements constatés.
Quel est le point de départ le plus simple pour se mettre en conformité ?
Le registre des activités de traitement. C’est la pièce centrale de la conformité RGPD et le premier document que la CNIL demande lors d’un contrôle. Une fois votre registre en ordre, vous aurez une vision claire de l’ensemble de vos traitements et des points restants à traiter.
Article structuré selon les exigences de l’Article 30 du RGPD. Sources : CNIL (cnil.fr), Règlement (UE) 2016/679, Bilan CNIL 2024 (vie-publique.fr).