Comment ça marche Ce que nous vérifions Tarifs Articles À propos Scanner maintenant →
Amendes RGPD et CNIL en 2026 : 13 cas réels et leur coût
← Tous les articles Sanctions ⏱ 10 min de lecture Mis à jour le 27 juin 2026

Amendes RGPD et CNIL en 2026 : 13 cas réels et leur coût

Les sanctions RGPD ne sont plus théoriques. La CNIL en France a prononcé des dizaines de millions d'euros d'amendes ces dernières années. Les autorités de protection des données allemandes ont émis des centaines de Bußgelder. Et le système privé d'Abmahnung en Allemagne génère des milliers d'actions coercitives chaque année contre des entreprises de toutes tailles.

Voici 13 cas documentés — amendes, sanctions et décisions coercitives que vous pouvez vérifier. Il ne s'agit pas d'hypothèses. Ce sont les cas que les équipes de conformité de vos concurrents sont en train de lire.

⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les montants des amendes et les décisions coercitives sont basés sur des informations accessibles au public. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.


Amendes CNIL 2025–2026 : principales sanctions

EntrepriseAmendeAnnéeInfraction principale
Criteo€40 000 0002023Consentement aux cookies ; consentement invalide pour le suivi publicitaire
Doctissimo€380 0002023Conservation excessive des données ; consentement insuffisant pour données de santé ; sécurité insuffisante ; cookies avant consentement
NS Cards France€105 0002023Conservation excessive des données ; sécurité insuffisante ; cookies avant consentement
SAF Logistics€200 0002023Collecte excessive de données ; violations de conservation ; lacunes dans la politique de confidentialité
Dedalus Biologie€1 500 0002022Violation de données ; sécurité insuffisante ; violations de conservation
Clearview AI€20 000 0002022Reconnaissance faciale illicite ; absence de base légale
Free Mobile€300 0002022Non-respect des droits des personnes concernées ; sécurité des données insuffisante (mots de passe faibles ou en clair)
Infogreffe€250 0002022Conservation excessive ; sécurité insuffisante ; absence d'enregistrement du DPO

Tendance : Le consentement aux cookies, la conservation excessive des données et la sécurité insuffisante sont les trois catégories d'infractions les plus citées dans les décisions de la CNIL.


Sanctions RGPD en Allemagne (Bußgeld DSGVO 2026) : cas clés

EntitéAmendeAnnéeAutoritéInfraction principale
Deutsche Wohnen900 000 € (ramenée de 14,5 M€)2019Autorité berlinoise de protection des données (BlnBDI)Conservation excessive des données des locataires — amende prononcée le 30 octobre 2019, annulée par le tribunal régional de Berlin en 2021 ; après l'arrêt de la CJUE C-807/21 (2023), fixée à 900 000 € en 2026 (communiqué du tribunal)
Sites avec Google Fonts100 € de dommages-intérêts (un plaignant)2022LG MünchenTransfert d'adresse IP sans consentement (CDN Google)
Knuddels€20 0002018LfDI Baden-WürttembergMots de passe stockés en clair (art. 32 RGPD) — première amende RGPD prononcée en Allemagne
Plusieurs PME€1 000–€5 000 chacune2023–2024AbmahnungViolations d'Impressum ; erreurs de Widerrufsbelehrung

Les 13 cas en détail

Cas 1 : Criteo — France, CNIL, juin 2023 — €40 000 000

Infraction : Criteo a traité les données des visiteurs de sites partenaires sans consentement valide. Les mécanismes de consentement aux cookies sur les sites partenaires ne respectaient pas les exigences du RGPD ; Criteo a traité un consentement insuffisant comme un consentement valide.

Ce qui a mal tourné : Collecte de consentement invalide ; défaut de vérification du consentement des partenaires ; information insuffisante des personnes concernées ; non-respect des demandes de retrait du consentement.

Leçon : Si des partenaires de publicité numérique ou d'analyse collectent des données via votre site, vous partagez la responsabilité de la façon dont ce consentement est recueilli. « Nous utilisons un outil tiers » n'est pas une défense.

→ Pour votre site : Vérifiez chaque script de réseau publicitaire ou d'analyse qui tourne sur votre site. Si certains se déclenchent avant le consentement, vous êtes dans la même situation que les sites partenaires de Criteo.


Cas 2 : Doctissimo — France, CNIL, mai 2023 — €380 000

Infraction : L'éditeur français de contenus santé conservait les données des utilisateurs bien au-delà de ce qui était nécessaire, traitait des données de santé sans les garanties de consentement exigées par l'article 9, présentait des lacunes en matière de sécurité et de responsabilité conjointe, et déposait des cookies avant le consentement — certains continuant de fonctionner après un refus.

Leçon : La décision CNIL SAN-2023-006 a constaté des manquements en matière de conservation des données, de consentement pour données de santé, de sécurité et de dépôt de cookies — pas un simple défaut de conception de bannière. Si votre site traite des données de santé ou d'autres données sensibles, les durées de conservation et le périmètre du consentement méritent autant d'attention que votre bannière de cookies.

→ Pour votre site : Vérifiez la durée de conservation de vos données, assurez-vous que toute donnée de santé ou sensible dispose de sa propre base de consentement explicite, et vérifiez que vos cookies ne se déclenchent pas avant le consentement — ni ne restent actifs après un refus.


Cas 3 : NS Cards France — France, CNIL, décembre 2023 — €105 000

Infraction : NS Cards France (opérateur du service de paiement prépayé Neosurf) conservait les données des comptes utilisateurs pendant environ dix ans, appliquait des règles de mots de passe faibles avec une fonction de hachage obsolète, et déposait des cookies Google Analytics avant d'obtenir le consentement.

Leçon : Définissez et appliquez des durées de conservation des données, exigez des mots de passe forts stockés avec une fonction de hachage moderne, et ne chargez pas de cookies d'analyse avant que l'utilisateur ait consenti.


Cas 4 : SAF Logistics — France, CNIL, septembre 2023 — €200 000

Infraction : Collecte de données personnelles excessives auprès des candidats à l'emploi via des formulaires en ligne ; conservation des données au-delà des délais nécessaires ; politique de confidentialité inadéquate.

Leçon : Les pages carrières et les formulaires de candidature sont soumis aux mêmes exigences RGPD que les pages orientées clients.


Cas 5 : Dedalus Biologie — France, CNIL, 2022 — €1 500 000

Infraction : Violation de données exposant les données de santé sensibles d'environ 500 000 patients. Causes profondes : sécurité insuffisante, absence de chiffrement, manque de minimisation des données.

Leçon : Les données de santé sont soumises à un plafond d'amende significativement plus élevé en vertu de l'article 9 du RGPD. La sécurité des données est une question de conformité, pas seulement une question informatique.


Comment votre site se compare-t-il à ces tendances de sanctions ? Lancez un audit de conformité CNIL gratuit →

Cas 6 : Knuddels — Allemagne, LfDI Baden-Württemberg, novembre 2018 — €20 000

Infraction : La plateforme de messagerie Knuddels stockait les mots de passe de ses utilisateurs en clair ; une violation de données a exposé les données d'environ 330 000 utilisateurs. Le LfDI du Bade-Wurtemberg a prononcé une amende de 20 000 € au titre de l'article 32 du RGPD — la première amende RGPD prononcée en Allemagne (communiqué du LfDI, 21 novembre 2018).

Leçon : Stockez les mots de passe hachés avec un algorithme moderne, jamais en clair. L'autorité a souligné que le montant modéré reflétait la coopération exemplaire de l'entreprise et la correction rapide de ses mesures de sécurité.


Cas 7 : Google Fonts via CDN — Allemagne, LG München, 2022 — 100 € de dommages-intérêts accordés à un plaignant

Infraction : Un tribunal allemand a statué que le chargement de Google Fonts depuis le CDN de Google violait le RGPD — chaque chargement de page transmettait l'adresse IP du visiteur à Google sans consentement.

Leçon : Hébergez vos polices localement. Cela prend moins d'une heure et élimine entièrement ce risque.


Cas 8 : Free Mobile — France, CNIL, 2022 — €300 000

Infraction : Non-respect des droits des personnes concernées (accès et effacement) et sécurité des données insuffisante — notamment des mots de passe faibles et des mots de passe stockés ou transmis en clair.

Leçon : Honorer les demandes d'accès et d'effacement dans les délais impartis, et stocker les mots de passe de manière sécurisée (règles strictes, hachage moderne), sont des obligations de conformité à part entière — indépendamment de toute violation.


Cas 9–11 : Vague d'Abmahnungen — PME allemandes, 2023–2024 — €1 000–€5 000 chacune

Infraction : Des associations de protection des consommateurs et des concurrents ont systématiquement analysé les sites web des PME allemandes à la recherche de violations d'Impressum.

Leçon : L'action coercitive par Abmahnung en Allemagne est privée, systématique et rentable pour ceux qui la déposent. Vous n'avez pas besoin d'être visé par un régulateur.

→ Pour votre site : Vérifiez votre Impressum maintenant : raison sociale légale, adresse physique (pas de boîte postale), numéro de téléphone, e-mail, numéro d'immatriculation au registre du commerce, numéro de TVA, personne responsable.


Cas 12 : Sites e-commerce — Allemagne, Abmahnung pour Widerrufsbelehrung, 2023–2024 — €1 500–€4 000 chacun

Infraction : Information de rétractation/annulation (Widerrufsbelehrung) incorrecte ou manquante sur des sites e-commerce allemands.

Leçon : La Widerrufsbelehrung doit utiliser le modèle officiel. Une erreur courante : mettre à jour les CGV mais oublier l'avis de rétractation distinct requis.


Cas 13 : Infogreffe — France, CNIL, 2022 — €250 000

Infraction : Durées de conservation des données excessives ; sécurité insuffisante ; défaut d'enregistrement du DPO auprès de la CNIL lorsque requis.

Leçon : L'enregistrement du DPO est une étape de conformité que de nombreuses organisations manquent.


Ce qui motive les amendes CNIL en 2026

Les priorités d'action de la CNIL pour 2025–2026 ciblent trois domaines :

  1. Consentement aux cookies — outils d'analyse automatisés déployés à grande échelle
  2. Conservation des données — organisations conservant les données plus longtemps que déclaré
  3. Sécurité et notification de violation — en particulier les délais de notification de violation

La tendance commune à ces 13 cas

Type d'infractionPrésent dansRemarques
Défaillances du consentement aux cookiesCas 1, 2, 6Infraction la plus détectable automatiquement
Conservation excessive des donnéesCas 3, 4, 8, 13Accompagne souvent d'autres infractions
Sécurité insuffisanteCas 5, 8Amendes plus élevées ; multiplicateur pour les données de santé
Scripts de suivi avant consentementCas 2, 6Vérifiable techniquement ; principal motif de sanction
Politique de confidentialité incomplèteCas 2, 4, 6Presque toujours une infraction secondaire
Abmahnung privée (Allemagne)Cas 9–12Aucun régulateur nécessaire ; rapide et rentable pour les plaignants

Comment éviter de devenir un cas d'école

Chaque infraction dans ces 13 cas était détectable avant toute action coercitive. La tendance est constante : l'organisation ne savait pas qu'elle avait un problème jusqu'à ce que quelqu'un d'autre le découvre.

  1. Scannez maintenant. Trouvez ce que les régulateurs et les concurrents trouveraient.
  2. Corrigez le consentement aux cookies en premier. C'est le domaine de sanction le plus fréquent et le plus détectable.
  3. Auditez les scripts tiers. Chaque ressource externe est une responsabilité potentielle.
  4. Vérifiez votre Impressum allemand si vous opérez en Allemagne.
  5. Assurez-vous que votre bannière bloque, pas seulement qu'elle s'affiche.

Pour les détails sur la réponse à un Abmahnung : Vous avez reçu un Abmahnung ? Voici ce que faire dans les 14 prochains jours. Pour comprendre pourquoi les PME allemandes sont ciblées de manière disproportionnée : Pourquoi les petites entreprises sont la cible principale des Abmahnungen.


Questions fréquentes

Les amendes CNIL augmentent-elles d'année en année ?

Oui. Le volume total des amendes CNIL est en hausse depuis 2021, tant en nombre de décisions qu'en montants cumulés. Le mécanisme de sanction est aujourd'hui plus automatisé qu'il y a trois ans.

Quelle est la différence entre une amende CNIL et un Bußgeld allemand ?

Une amende CNIL est prononcée par l'autorité française de protection des données à l'issue d'une enquête formelle. Un Bußgeld est émis par une autorité allemande de protection des données. Un Abmahnung allemand est une action coercitive privée — aucun régulateur n'est impliqué ; un concurrent ou une association de consommateurs l'envoie directement.

Une petite entreprise peut-elle vraiment être sanctionnée par la CNIL ?

Oui. La CNIL accepte les plaintes des particuliers et y donne suite quelle que soit la taille de l'entreprise. Le système d'Abmahnung en Allemagne est particulièrement efficace contre les petites entreprises car le coût de la contestation dépasse souvent le coût du règlement amiable.

Google Fonts représente-t-il vraiment un risque de conformité ?

En Allemagne, si vous chargez Google Fonts depuis le CDN de Google, oui. Le LG München a jugé en 2022 que cela violait le RGPD. La solution est l'hébergement local — cela prend moins d'une heure.

Que coûte réellement une enquête CNIL au-delà de l'amende ?

Les frais juridiques pour répondre à une enquête formelle de la CNIL débutent généralement à €5 000–€15 000. Ajoutez à cela la perturbation opérationnelle, le temps de la direction et les travaux de remédiation éventuels.

Scanner votre site maintenant

À lire également :


Sources : Décisions de la CNIL (cnil.fr) · Décisions de l'autorité berlinoise de protection des données (BlnBDI) · LG München I Az. 3 O 17493/20 (Google Fonts) · Communiqués de presse DSK · Articles 33 et 83 du RGPD · Article 5(3) de la directive ePrivacy

🩸 — Sitetals Editorial