CNIL

01 — DéfinitionQu'est-ce que la CNIL ?

La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité administrative indépendante (AAI) française chargée de veiller au respect de la législation sur la protection des données à caractère personnel.

Créée par la loi Informatique et Libertés du 6 janvier 1978, première loi au monde de protection des données personnelles, elle a précédé de plusieurs décennies les réflexions similaires dans d'autres pays. Cette loi a été une réaction à un projet gouvernemental controversé appelé SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), qui visait à interconnecter l'ensemble des fichiers de l'administration française en utilisant le numéro de sécurité sociale comme identifiant unique. Le scandale né de la révélation de ce projet par Le Monde en 1974 a conduit à la création de la CNIL.

Depuis le 25 mai 2018, la CNIL applique en France le Règlement général sur la protection des données (RGPD), règlement européen directement applicable. La loi Informatique et Libertés reste en vigueur pour les dispositions nationales complémentaires.

Son statut d'autorité administrative indépendante signifie qu'elle :

• Exerce ses missions au nom de l'État sans être soumise à l'autorité hiérarchique du gouvernement.
• Bénéficie d'une autonomie de décision et de budget.
• Dispose de pouvoirs propres (réglementaires, de contrôle, de sanction).
• Rend compte de son activité au Parlement.

En 2026, la CNIL compte environ 300 agents et dispose d'un budget annuel d'environ 30 millions d'euros. Elle est présidée par Marie-Laure Denis depuis 2019 (mandat de 5 ans non renouvelable). Un renouvellement est attendu en 2024-2025.

La CNIL n'est pas qu'un gendarme des données : elle joue aussi un rôle majeur de conseil, d'éducation et de régulation. Ses lignes directrices et prises de position orientent la pratique de milliers d'organisations en France et contribuent aux débats européens via le Comité européen de la protection des données (CEPD).

02 — MissionsLes 4 grandes missions de la CNIL

1. Informer et conseiller

La CNIL fournit une information gratuite et accessible à tous sur les droits et obligations en matière de données personnelles :

• Site web cnil.fr : guides, fiches pratiques, FAQ très largement consultés.
• MOOC et ressources pédagogiques pour entreprises, développeurs, particuliers.
• Documents de référence : guides sectoriels (RH, marketing, santé, éducation).
• Délibérations publiques qui clarifient l'interprétation des textes.
• Conseils aux délégués à la protection des données (DPO).
• Hotline téléphonique pour particuliers et professionnels.

2. Accompagner la conformité

La CNIL aide les acteurs publics et privés à se mettre en conformité via :

• Référentiels sectoriels : modèles de conformité adaptés à des secteurs (santé, sports, associations).
• Méthodologies : PIA (Privacy Impact Assessment), analyse des risques.
• Labels et certifications : reconnaissance de la conformité de produits ou services.
• Outils gratuits : logiciel PIA, modèles de registre, gabarit de politique de confidentialité.
• Bac à sable réglementaire (« regulatory sandbox ») : accompagnement de projets innovants avant déploiement (IA, santé connectée, etc.).
• Service aux PME : outils et FAQ adaptés aux petites structures.

3. Contrôler et sanctionner

La CNIL dispose de pouvoirs étendus de contrôle et de sanction détaillés dans la section dédiée ci-dessous. Elle effectue environ 300-400 contrôles par an depuis 2018, avec une intensification depuis le RGPD. Les sanctions peuvent atteindre 20 millions d'euros ou 4% du CA mondial annuel.

4. Anticiper et innover

La CNIL investigue les enjeux émergents :

• Laboratoire d'innovation numérique (LINC) : études prospectives, publications de recherche.
• Position publique sur les technologies sensibles : intelligence artificielle, reconnaissance faciale, blockchain, neurosciences, métavers.
• Contribution aux débats européens : participation active au CEPD (Comité européen de la protection des données) qui harmonise l'application du RGPD.
• Coopération internationale : Global Privacy Assembly, partenariats bilatéraux.
• Plans thématiques de contrôle publiés chaque année : en 2026, IA, cloud, applications mobiles, droits des mineurs.

Autres missions spécifiques

• Contrôle des fichiers de police et de renseignement : accès à certains fichiers de souveraineté (TAJ, FPR, FSPRT) avec un régime particulier.
• Tenue du registre des violations et publication de statistiques annuelles.
• Coopération avec les autres autorités : ANSSI pour la cybersécurité, ARCOM pour l'audiovisuel, ACPR pour le secteur financier, Défenseur des droits.

03 — OrganisationStructure et fonctionnement

La Commission (organe collégial)

Organe de décision principal, composé de 18 membres :

• 4 parlementaires (2 députés, 2 sénateurs).
• 2 membres du Conseil économique, social et environnemental.
• 2 membres du Conseil d'État.
• 2 conseillers à la Cour de cassation.
• 2 conseillers à la Cour des comptes.
• 5 personnalités qualifiées (3 désignées par décret, 2 par les présidents des assemblées).
• 1 président (Marie-Laure Denis depuis 2019), désigné par décret.

Cette collégialité garantit l'indépendance et la diversité des profils. La Commission plénière se réunit environ tous les 15 jours pour délibérer.

La formation restreinte (organe de sanction)

Au sein de la Commission, une formation restreinte de 5 membres est chargée de prononcer les sanctions. Elle statue en toute indépendance de l'instruction (séparation stricte des fonctions d'enquête et de jugement). Ses décisions sont publiques et publiées sur Légifrance et le site de la CNIL.

Les services

Environ 300 agents organisés en plusieurs directions :

• Direction de la conformité : accompagnement des responsables de traitement, référentiels, labels.
• Direction des contrôles : enquêtes, contrôles sur place, en ligne, sur pièces.
• Direction de l'instruction : préparation des dossiers de sanction.
• Direction des affaires juridiques : expertise juridique, contentieux.
• Direction des relations avec les publics : communication, plaintes, information.
• Direction des technologies et de l'innovation : expertise technique, LINC (laboratoire d'innovation).
• Service des plaintes : traitement des demandes de particuliers.

Publications annuelles

• Rapport annuel : activité, chiffres, principales décisions. Publié chaque printemps.
• Plan stratégique : orientations pluriannuelles.
• Plan thématique annuel : priorités de contrôle de l'année.
• Bilan des sanctions : synthèse annuelle.

04 — PouvoirsContrôles et sanctions

Les quatre types de contrôle

1. Contrôle sur place

Les agents habilités de la CNIL peuvent se présenter entre 6h et 21h dans les locaux professionnels d'un responsable de traitement sans autorisation préalable du juge. Ils disposent de pouvoirs étendus :

• Accès aux systèmes informatiques et aux données.
• Consultation des documents.
• Auditions des personnels.
• Copies de fichiers et documents.
• Saisie d'éléments utiles à l'enquête.

Le responsable de traitement peut s'opposer à certains accès uniquement en présentant des justifications légales (secret professionnel, secret des sources journalistiques). L'obstruction à un contrôle est sanctionnée.

2. Contrôle sur pièces

Échanges documentaires à distance. La CNIL envoie un questionnaire détaillé ou demande des pièces. Le responsable de traitement doit répondre dans un délai imparti (généralement quelques semaines). Approche privilégiée pour les dossiers moins complexes ou à distance.

3. Contrôle sur audition

Convocation dans les locaux de la CNIL pour audition. Utilisé souvent en complément d'un contrôle sur place ou sur pièces pour approfondir certains points.

4. Contrôle en ligne

La CNIL dispose d'outils automatisés pour vérifier la conformité de sites web et applications mobiles à distance : bannières cookies, mentions légales, sécurité des formulaires, fuites de données dans le code. Vecteur majeur depuis 2020 avec la généralisation des contrôles cookies.

Procédure de sanction

Déclenchement

Plusieurs origines :

• Plainte d'un particulier (la CNIL reçoit 15 000+ plaintes par an).
• Signalement d'un lanceur d'alerte, d'une association, d'un média.
• Initiative propre de la CNIL sur plan thématique.
• Suivi d'une sanction antérieure.
• Coopération européenne : notification par une autre autorité.

Instruction

Le service des contrôles mène l'enquête, établit un rapport avec les manquements constatés et propose une sanction. Le responsable de traitement peut consulter le dossier et présenter ses observations.

Décision

La formation restreinte délibère en séance, après audition contradictoire, et rend sa décision. Les décisions de sanction sont motivées et publiées (sauf anonymisation exceptionnelle).

Recours

Les décisions de sanction peuvent être contestées devant le Conseil d'État dans un délai de 2 mois. Le Conseil d'État juge en premier et dernier ressort.

Échelle des sanctions

Avertissements et mises en demeure

Les premières mesures, généralement confidentielles et donnant au responsable un délai pour se mettre en conformité. Très utilisées — plusieurs centaines par an.

Injonctions de mise en conformité

Ordonnent des actions précises sous délai, éventuellement assorties d'astreintes financières par jour de retard (jusqu'à 100 000 € par jour).

Sanctions financières

Selon le RGPD, deux plafonds :

• 10 M€ ou 2% CA mondial : manquements aux obligations du responsable et du sous-traitant (registre, notification, PIA, DPO).
• 20 M€ ou 4% CA mondial : manquements aux principes de base (licéité, finalité, minimisation, transparence), aux droits des personnes, aux transferts hors UE, au non-respect d'une injonction.

Pour la loi Informatique et Libertés sur ses dispositions nationales, les plafonds sont similaires.

Limitation ou interdiction de traitement

Mesure rare mais très sévère : interdiction temporaire ou définitive d'un traitement de données. Appliqué par exemple contre Clearview AI en 2022.

Publication de la décision

La publication est elle-même une sanction. Les décisions de la CNIL sont très commentées dans la presse spécialisée, avec un impact réputationnel significatif.

05 — NotificationsQuand notifier la CNIL

Notification de violation de données (article 33 RGPD)

Délai

72 heures à partir de la prise de connaissance de la violation, sauf si celle-ci est peu susceptible d'engendrer un risque pour les personnes.

Canal

Téléservice dédié sur le site cnil.fr (accès via identifiant DPO ou du responsable de traitement). Possibilité de notification partielle si tous les éléments ne sont pas disponibles sous 72h, avec compléments ultérieurs.

Contenu

• Nature de la violation (intégrité, confidentialité, disponibilité).
• Catégories et nombre approximatif de personnes concernées.
• Catégories et volume de données concernées.
• Conséquences probables.
• Mesures prises ou envisagées pour remédier.
• Mesures pour atténuer les conséquences.
• Coordonnées du DPO ou du point de contact.

Information des personnes concernées (article 34 RGPD)

Si la violation présente un risque élevé pour les personnes, elles doivent également être informées directement, sans délai indu. Cette information peut être individuelle (email) ou collective (communication publique) si une notification individuelle est disproportionnée.

Documentation interne

Toute violation, y compris celles non notifiées, doit être documentée dans un registre interne des violations : faits, effets, mesures prises. Ce registre peut être contrôlé.

Volumes observés

• 5 000+ notifications reçues par la CNIL en 2024.
• Principales causes : piratage externe (ransomware, phishing, intrusion), erreurs internes (envoi à la mauvaise personne, configuration), perte ou vol d'équipement.
• Secteurs les plus exposés : santé, éducation, commerce, secteur public.
• Tendance à la hausse régulière depuis 2018.

Autres notifications

Analyse d'impact relative à la protection des données (AIPD / PIA)

Obligatoire pour les traitements « susceptibles d'engendrer un risque élevé pour les droits et libertés ». Si le risque résiduel demeure élevé malgré les mesures, consultation préalable de la CNIL avant déploiement du traitement. En pratique, peu d'organisations utilisent cette procédure — la CNIL encourage à réduire le risque plutôt qu'à la consulter systématiquement.

Désignation du DPO

La désignation d'un délégué à la protection des données (DPO) doit être notifiée à la CNIL via un téléservice dédié. Obligatoire pour : autorités publiques, organisations dont l'activité de base implique un suivi régulier et systématique à grande échelle, traitements à grande échelle de données sensibles.

Transferts internationaux

Les transferts de données hors Union européenne doivent reposer sur une base juridique adéquate (décision d'adéquation, CCT — Clauses contractuelles types, BCR, dérogations spécifiques). Pas de notification obligatoire à la CNIL pour chaque transfert, mais documentation dans le registre et justification en cas de contrôle.

06 — DécisionsSanctions marquantes

Décisions françaises notables

Google — 150 M€ (janvier 2022)

Sanction historique pour non-respect des règles sur les cookies : le bouton « refuser » n'était pas aussi accessible que « accepter » sur google.fr et youtube.com. Emblématique de la bataille réglementaire sur le consentement aux cookies.

Facebook (Meta) — 60 M€ (janvier 2022)

Mêmes griefs que Google, sur facebook.com. Rappel que les règles françaises sur les cookies s'appliquent à tous.

Amazon Europe — 35 M€ (décembre 2020)

Cookies déposés sans consentement sur amazon.fr, manque d'information claire.

Clearview AI — 20 M€ (octobre 2022)

Société américaine qui aspirait des photos depuis les réseaux sociaux pour entraîner sa reconnaissance faciale, sans aucune base juridique ni information des personnes. Sanction assortie d'une interdiction de traitement et d'une injonction de supprimer les données. La société a refusé d'obtempérer ; nouvelle sanction de 5,2 M€ en 2023 pour non-exécution. Démonstration des limites du pouvoir de la CNIL face à un acteur non établi dans l'UE.

Criteo — 40 M€ (juin 2023)

Plateforme française de reciblage publicitaire. Sanction pour plusieurs manquements dont absence de base légale pour le consentement et défaut d'information.

Discord — 800 000 € (novembre 2022)

Plusieurs manquements RGPD : durée de conservation, politique de mot de passe faible, AIPD manquante.

Canal+ — 600 000 € (décembre 2022)

Prospection commerciale sans consentement, gestion défaillante des droits des personnes.

Cegedim Santé — 800 000 € (juillet 2023)

Traitement de données de santé sans autorisation CNIL préalable et manquements à la sécurité.

Décisions européennes impliquant la France

Meta (Facebook/Instagram) — 1,2 Md€ (mai 2023)

Sanction record à l'échelle européenne, prononcée par la DPC irlandaise (autorité chef de file pour Meta) mais coordonnée avec les autres autorités européennes dont la CNIL via le CEPD. Transferts illégaux vers les USA après l'arrêt Schrems II.

Schrems II (juillet 2020)

Arrêt de la CJUE qui a invalidé le Privacy Shield encadrant les transferts UE-USA. La CNIL a été très active dans l'application de cet arrêt en France, notamment pour les cookies Google Analytics (déclaré illégal par la CNIL en 2022 dans sa configuration par défaut).

Tendances 2024-2026

• Augmentation des sanctions : la CNIL a dépassé 100 M€ de sanctions cumulées plusieurs années de suite.
• Focalisation sur les cookies : plusieurs dizaines de décisions contre de grands sites.
• Publication quasi-systématique : effet dissuasif par la réputation.
• Cible croissante des opérateurs cloud : questions sur les transferts et la souveraineté.
• Intelligence artificielle : premières décisions sur les usages IA sans base légale adéquate.
• Collectivités territoriales et secteur public : contrôles renforcés.

07 — EntreprisesComment interagir avec la CNIL

08 — FAQQuestions fréquentes

La CNIL peut-elle sanctionner une entreprise hors de France ?

Oui, dans plusieurs cas. Si l'entreprise cible des personnes en France via ses produits ou services, le RGPD s'applique (article 3). Si l'entreprise est établie dans un autre pays de l'UE, la CNIL coopère avec l'autorité chef de file (mécanisme de guichet unique). Les sanctions peuvent être difficiles à exécuter contre des entreprises sans actifs en France, comme l'illustre le cas Clearview AI qui n'a jamais payé ses sanctions. La coopération internationale et les nouveaux instruments (DMA, DSA) renforcent progressivement l'exécutabilité.

Faut-il désigner un DPO ?

Obligatoire pour : autorités publiques (sauf juridictions), organismes dont les activités de base impliquent un suivi régulier et systématique à grande échelle (ex. médias sociaux, assureurs, opérateurs télécom), et organismes dont les activités de base incluent le traitement à grande échelle de données sensibles ou relatives à des condamnations. Pour les autres, la désignation est facultative mais fortement recommandée au-delà d'une certaine taille. Un DPO externe mutualisé peut être une solution pour les PME. Le DPO doit être indépendant et rapporter directement à la direction.

Quel est le rôle de la CNIL face à l'intelligence artificielle ?

La CNIL s'est positionnée comme acteur central sur l'IA en France. Elle a créé un service de l'intelligence artificielle en 2023, publié plusieurs plans et guides (plan IA 2023-2024, recommandations sur les LLM, lignes directrices sur les systèmes IA généralistes). Elle coordonne avec l'AI Act européen (Règlement 2024/1689) et les futures obligations IA. Les premières décisions de sanction sur des systèmes IA commencent à émerger en 2024-2026, notamment sur le scraping de données pour l'entraînement. Son bac à sable réglementaire IA accompagne des projets innovants avant déploiement.

Existe-t-il une équivalence CNIL dans d'autres pays ?

Oui. Chaque État membre de l'UE dispose d'au moins une autorité de protection des données. Les plus actives en Europe :

• CNIL (France).
• DPC (Irlande) : autorité chef de file pour les GAFAM à siège européen irlandais.
• AEPD (Espagne) : très active en sanctions.
• BfDI (Allemagne) : système fédéral complexe avec une autorité par Länder.
• Garante (Italie) : pionnière sur l'IA générative (blocage temporaire de ChatGPT en 2023).
• ICO (Royaume-Uni) : proche du RGPD mais distincte depuis le Brexit.

Toutes coopèrent via le Comité européen de la protection des données (CEPD) pour harmoniser l'application du RGPD.

Comment déposer une plainte à la CNIL ?

Toute personne peut déposer une plainte gratuitement via le téléservice sur cnil.fr. La CNIL accuse réception, analyse la recevabilité, peut demander des compléments. Les plaintes sont généralement instruites par courrier auprès de l'organisme visé. Elles peuvent donner lieu à une clôture, une mise en demeure, un contrôle approfondi ou une sanction selon la gravité et la récurrence. Les particuliers français peuvent aussi saisir des associations spécialisées (La Quadrature du Net, NOYB de Max Schrems) qui déposent des plaintes groupées. Environ 15 000-20 000 plaintes sont reçues chaque année par la CNIL.