Comment ça marche Ce que nous vérifions Tarifs Articles À propos Scanner gratuitement →
Comment la CNIL découvre les sites non conformes au RGPD
← Tous les articles Contrôles CNIL ⏱ 7 min de lecture Mis à jour le 25 juin 2026
⚠️
Vous avez reçu une mise en demeure ?

Notre Centre de réponse aux crises couvre tous les scénarios d'enforcement avec les démarches immédiates à suivre — Abmahnung, enquête CNIL et plus encore. Important : consultez un avocat qualifié avant de répondre à toute mise en demeure formelle.

Comment la CNIL découvre les sites non conformes au RGPD — Et pourquoi vous êtes plus visible que vous ne le pensez

L'une des idées reçues les plus répandues sur l'application de la réglementation est qu'elle est réactive — que la CNIL attend qu'un événement majeur se produise avant d'enquêter sur une entreprise.

Cette idée est fausse, et de plus en plus.

La CNIL — la Commission Nationale de l'Informatique et des Libertés — est l'autorité française de protection des données, et elle a consacré ces dernières années à bâtir l'infrastructure nécessaire pour détecter les sites non conformes à grande échelle. La CNIL reçoit des dizaines de milliers de plaintes chaque année — son rapport annuel le plus récemment publié a enregistré plus de 16 400 plaintes en une seule année, un chiffre qui a augmenté chaque année depuis le début de l'application du RGPD. Son budget d'enforcement et ses capacités techniques se sont considérablement développés depuis 2021.

Comprendre comment la CNIL identifie les entreprises est essentiel — car si votre site présente des lacunes en matière de conformité RGPD, la question n'est pas de savoir si la CNIL pourrait les trouver. C'est quand, et par quel canal.

⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les procédures et priorités d'enforcement de la CNIL peuvent évoluer dans le temps. Si vous avez reçu une communication de la CNIL, consultez immédiatement un avocat qualifié.

📌 Cet article explique comment la CNIL découvre les sites non conformes. Pour ce qui se passe ensuite — les étapes de l'enquête, les délais et comment répondre — voir : Ce qui se passe lors d'une enquête CNIL


Canal 1 : Contrôles en ligne et recherche sur les traceurs

Depuis 2021, la CNIL a de plus en plus recours aux contrôles en ligne — l'inspection technique directe de sites web en activité par ses agents — en complément des plaintes et des campagnes sectorielles.

Les décisions cookies marquantes de la CNIL contre Google (150 M€, SAN-2021-023, 31 décembre 2021), Facebook (60 M€, SAN-2021-024, 31 décembre 2021) et Microsoft Bing (60 M€, SAN-2022-023, 19 décembre 2022) ont chacune débuté par des plaintes suivies d'un contrôle en ligne mené par les agents de la CNIL — et non par un scanner automatisé. La direction est néanmoins claire : la CNIL inspecte directement les sites en ligne, et ses décisions publiées constituent un registre public permanent.

Ce que cela signifie : la CNIL n'a pas besoin d'une plainte pour découvrir une infraction. Son laboratoire de recherche (LINC) a publié des travaux de visualisation de traceurs — notamment une étude de 2021 construite sur l'outil open-source CookieViz — montrant que les pratiques de suivi cachées sont techniquement détectables à grande échelle. Il s'agissait d'une publication de recherche ponctuelle, non de la description d'un balayage d'application automatisé permanent ; le canal d'application confirmé de la CNIL reste le contrôle en ligne manuel décrit ci-dessus.


Canal 2 : Plaintes individuelles

La principale source d'enquêtes de la CNIL est constituée par les plaintes émanant de particuliers. Les citoyens français peuvent déposer une plainte en ligne sur cnil.fr en quelques minutes, et la CNIL est tenue de donner suite aux plaintes relevant de sa compétence.

La CNIL reçoit des dizaines de milliers de plaintes chaque année, avec un nombre en hausse constante depuis l'entrée en vigueur du RGPD. Les sujets de plainte les plus fréquents : les e-mails marketing envoyés sans consentement, et le non-respect des droits des personnes concernées.

Ce que cela signifie concrètement : un seul client mécontent, un ancien salarié ou un concurrent soucieux de la protection de la vie privée peut déclencher une enquête formelle de la CNIL contre votre entreprise. Déposer une plainte est gratuit, anonyme si demandé, et prend environ cinq minutes.


Canal 3 : Campagnes d'investigation sectorielles

Chaque année, la CNIL publie ses priorités thématiques — les secteurs et domaines de conformité sur lesquels elle entend concentrer son activité d'enforcement. Les campagnes sectorielles passées ont ciblé :

Si votre entreprise opère dans un secteur qui a été ou est susceptible d'être ciblé, vous faites face à une probabilité supérieure à la moyenne d'être impliqué dans une enquête coordonnée — indépendamment de la taille de votre activité.


Canal 4 : Renvois entre autorités de contrôle transfrontalières

Le RGPD a instauré un mécanisme de coopération entre les autorités de protection des données de l'UE. Si une entreprise exploite des sites ciblant des consommateurs français mais est établie en Allemagne, en Irlande ou ailleurs, la CNIL peut — et le fait — coopérer avec d'autres autorités de contrôle pour enquêter sur ces entreprises.

Cela signifie que la distance géographique par rapport à la France ne vous protège pas. Une entreprise allemande ou britannique ciblant des consommateurs français avec un site non conforme est à la portée de la CNIL.


Canal 5 : Médias, ONG et plaintes organisées

Des organisations de défense de la vie privée — dont noyb (l'organisation de Max Schrems), La Quadrature du Net et d'autres — soumettent activement des plaintes coordonnées à la CNIL au nom de personnes concernées. noyb seul a déposé des centaines de plaintes auprès des autorités de contrôle européennes à la suite de l'arrêt Schrems II. Plusieurs actions d'enforcement françaises visant des outils d'analyse et des transferts de données sont issues de plaintes de noyb.

Le journalisme d'investigation déclenche également des enquêtes de la CNIL. Un article médiatique à fort retentissement sur une violation de données ou une pratique commerciale non conforme a régulièrement précédé des enquêtes formelles de la CNIL dans les cas documentés.



La conséquence pratique

La CNIL ne s'appuie pas sur la découverte fortuite. Elle a construit un système multicanal capable d'identifier les entreprises non conformes par les contrôles en ligne, la réception de plaintes, des campagnes sectorielles coordonnées et la coopération transfrontalière.

Un site doté d'une bannière de cookies non conforme, d'une politique de confidentialité absente, ou d'un cookie qui charge Google Analytics avant le consentement n'est pas invisible. Il est identifiable — par les propres systèmes de la CNIL, par des plaignants individuels et par des groupes organisés de défense de la vie privée — à tout moment.

La question n'est pas de savoir si la CNIL dispose des outils pour trouver votre site. La question est de savoir s'il y a quelque chose à trouver lorsqu'elle le fait.

Découvrez ce que les outils de la CNIL trouveraient sur votre site.

Un scan gratuit Sitetals vérifie votre site web selon les principales catégories de conformité que la CNIL contrôle — consentement aux cookies, mentions légales, politique de confidentialité et exposition aux transferts de données.

Analysez votre site maintenant — résultats en moins de 60 secondes

Sources : Rapport annuel CNIL 2023 (données d'activité, statistiques d'enforcement), Décision CNIL SAN-2021-023 (Google, 150 M€), Décision CNIL SAN-2021-024 (Facebook, 60 M€), Décision CNIL SAN-2022-023 (Microsoft Bing, 60 M€), RGPD Art. 60–62 (mécanisme de coopération), priorités d'investigation publiées par la CNIL