Sanctions CNIL 2026 : vidéosurveillance, cookies et obligation de coopérer, ce que révèlent les 23 dernières décisions

133 750 euros. C'est le montant cumulé des 23 sanctions que la CNIL a prononcées depuis janvier 2026 dans le cadre de sa procédure simplifiée, un bilan qu'elle a rendu public le 6 juillet dernier. Rien à voir avec les amendes record dont la presse se fait parfois l'écho : ici, on parle de dossiers du quotidien, souvent déclenchés par une simple plainte de particulier (19 sur les 23).
C'est justement ce qui rend ce bilan intéressant pour la plupart des organismes : ce ne sont pas des manquements exceptionnels ou sophistiqués qui sont sanctionnés, mais des pratiques encore très répandues. Trois sujets reviennent : la vidéosurveillance des salariés, les bandeaux cookies mal conçus, et le silence face à une demande d'exercice de droits.
L'essentiel en une phrase : filmer en continu ses salariés sans justification, proposer un bouton pour tout accepter les cookies sans équivalent pour tout refuser, ou ignorer une demande de droit d'accès ou d'effacement, sont des manquements qui suffisent à eux seuls à déclencher une sanction de la CNIL, même sans gravité exceptionnelle.
I. La procédure simplifiée, un outil rapide depuis 2022
Depuis 2022, la CNIL dispose d'une procédure adaptée aux dossiers qui ne présentent pas de difficulté juridique particulière. Contrairement à la procédure ordinaire, qui mobilise la formation restreinte au complet lors d'une séance contradictoire, la procédure simplifiée repose sur une décision individuelle : le président de la formation restreinte, ou un autre de ses membres désigné, statue seul après examen du dossier.
Deux limites l'encadrent. L'amende ne peut pas dépasser 20 000 euros, et l'identité de l'organisme sanctionné n'est jamais rendue publique. C'est un choix assumé de la CNIL : traiter vite les manquements courants et avérés, sans consacrer à chaque dossier le formalisme d'une procédure ordinaire.
II. Vidéosurveillance des salariés : ce qui a été sanctionné
Plusieurs sociétés des secteurs de la restauration rapide, du transport urbain et des commerces en gare ferroviaire ont été sanctionnées pour deux motifs distincts. D'abord, l'exploitation d'un dispositif vidéo sans autorisation préfectorale, ce qui viole l'article 5.1.a du RGPD sur la licéité du traitement. Ensuite, le fait de filmer en permanence les postes de travail des salariés, un manquement au principe de minimisation des données posé par l'article 5.1.c du même règlement.
La règle que rappelle la CNIL est simple à énoncer, moins simple à appliquer : les caméras ne doivent en aucun cas filmer en continu un salarié, sauf circonstance exceptionnelle qui le justifie précisément. Une caméra de sécurité aux issues d'un magasin, ce n'est pas la même chose qu'une caméra braquée en permanence sur un poste de caisse ou de cuisine.
IV. Droits d'accès et d'effacement : quand le silence coûte cher
Huit des 23 sanctions concernent des organismes qui n'ont pas répondu à une demande de droit d'accès ou d'effacement, ou qui ont mis un délai excessif à le faire, en méconnaissance des articles 12, 15 et 17 du RGPD. Le motif est souvent banal : une demande reçue, jamais traitée, jusqu'à ce que la personne concernée saisisse la CNIL.
V. L'obligation de coopérer avec la CNIL, un manquement à part entière
Quatre de ces huit sanctions comportaient une dimension supplémentaire, révélatrice d'un piège fréquent : certains organismes, dont des avocats et des médecins, n'avaient tout simplement pas répondu aux sollicitations de la CNIL pendant l'instruction de la plainte. L'article 18 de la loi Informatique et Libertés impose pourtant de coopérer avec l'autorité de contrôle ; ce n'est pas une option laissée à l'appréciation de l'organisme sollicité, c'est une obligation légale autonome, distincte du manquement initial ayant motivé la plainte.
Conséquence concrète pour ces dossiers : une amende assortie d'une injonction de répondre à la demande du plaignant, et faute de réaction dans le délai fixé, la liquidation d'une astreinte, c'est-à-dire le paiement effectif d'une somme d'argent supplémentaire pour n'avoir pas obtempéré. Ignorer un courrier de la CNIL peut donc coûter plus cher que le manquement qui l'a déclenché.
VI. Ce qu'il faut en retenir pour votre organisme
- Vérifier que tout dispositif de vidéosurveillance sur le lieu de travail dispose bien d'une autorisation préfectorale lorsqu'elle est requise, et qu'aucune caméra ne filme en continu un poste de travail sans justification précise.
- Tester soi-même son bandeau cookies : le bouton de refus doit être aussi accessible et aussi rapide que le bouton d'acceptation, pas caché derrière un second niveau de menu.
- Mettre en place une procédure interne claire pour traiter toute demande de droit d'accès ou d'effacement dans le délai légal, avant même qu'elle ne dégénère en plainte.
- Ne jamais laisser un courrier de la CNIL sans réponse, même si le fond du dossier semble mineur : le silence est lui-même sanctionné, indépendamment de l'issue de la plainte initiale.
Vérifier votre conformité RGPD
Ces sanctions ont ceci de rassurant : elles portent sur des points précis et corrigeables, pas sur des défaillances structurelles insurmontables. Un audit ciblé de la vidéosurveillance, du bandeau cookies et du circuit de traitement des demandes de droits suffit, dans la plupart des cas, à sécuriser un organisme.
Besoin de vérifier votre conformité RGPD ?
Le cabinet réalise un diagnostic documentaire de votre conformité (registre des traitements, politique de confidentialité, mentions d'information) ainsi qu'une information juridique écrite sous 24 à 48h : notre juriste identifie les textes applicables à votre situation et vous apporte une réponse documentée.
Conclusion
Ce bilan de mi-année ne parle pas de piratage massif ni de failles de sécurité spectaculaires. Il parle de caméras qu'on a oublié d'éteindre, de bandeaux cookies mal conçus, et de courriers auxquels on n'a jamais répondu. C'est peut-être ce qui doit le plus alerter : ce sont des manquements simples à corriger, qui ne devraient plus exister huit ans après l'entrée en application du RGPD, et qui continuent pourtant d'être sanctionnés à un rythme soutenu.
Sources officielles
- CNIL, communiqué du 6 juillet 2026, "La CNIL a prononcé 23 nouvelles sanctions depuis janvier au titre de la procédure simplifiée"
- Règlement général sur la protection des données, article 5.1.a (licéité du traitement) et 5.1.c (minimisation des données)
- Règlement général sur la protection des données, articles 12, 15 et 17 (transparence, droit d'accès, droit à l'effacement)
- Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 18 (obligation de coopération avec la CNIL)
- Loi n°78-17 du 6 janvier 1978, article 82 (règles relatives aux cookies et autres traceurs, symétrie de l'acceptation et du refus)
- Code civil, article 9 (droit au respect de la vie privée)
Cet article relève d'une information juridique au sens de la loi n° 71-1130 du 31 décembre 1971. Le cabinet ne délivre pas de consultation juridique personnalisée. Pour l'analyse d'une situation individuelle, un professionnel du droit compétent reste le bon interlocuteur.
Questions fréquentes
Qu'est-ce que la procédure de sanction simplifiée de la CNIL ?+
Mise en place en 2022, c'est une procédure adaptée aux dossiers ne présentant pas de difficulté juridique particulière : le président de la formation restreinte, ou un autre de ses membres, décide seul de la sanction, plafonnée à 20 000 euros, sans publication du nom de l'organisme sanctionné.
Une entreprise peut-elle filmer ses salariés en continu ?+
Non, sauf circonstance exceptionnelle le justifiant. Filmer en permanence les postes de travail méconnaît le principe de minimisation des données posé par l'article 5.1.c du RGPD, et l'exploitation d'un dispositif de vidéosurveillance sans autorisation préfectorale viole par ailleurs l'article 5.1.a du même règlement.
Un bandeau cookies qui propose seulement d'accepter est-il conforme ?+
Non. L'article 82 de la loi Informatique et Libertés impose qu'il soit aussi simple de refuser tous les cookies que de les accepter tous. Un bandeau qui permet d'accepter en un clic mais impose de passer par une interface de personnalisation pour refuser n'est pas conforme.
Que risque une entreprise qui ne répond pas à une sollicitation de la CNIL ?+
L'absence de coopération avec la CNIL constitue en elle-même un manquement autonome à l'article 18 de la loi Informatique et Libertés, sanctionnable indépendamment du bien-fondé de la plainte initiale, et peut être assortie d'une injonction sous astreinte financière en cas de non-réponse persistante.