Entre le 1er avril et le 30 juin 2026, la formation restreinte de la CNIL a rendue peu de sanctions, mais une sanction en particulier est intéressante au vu de son contexte.
Décision du 2 avril 2026 : Le rappel à l’ordre d’une société exploitant des boutiques toilettes
Cette affaire illustre l’importance de la mise en conformité des traitements de surveillance du personnel et du public, notamment dans le contexte lié à l’entrée en vigueur de la loi sur le Défenseur des droits.
L’organisme ciblé : SOCIÉTÉ EXPLOITANT DES BOUTIQUES TOILETTES (procédure simplifiée – nom de la société non communiqué).
Le sujet : La mise en place et l’usage de dispositifs de vidéosurveillance et de vidéoprotection au sein de ses établissements.
La sanction : Une amende administrative de 7 500 €.
Qu’est-ce qu’une « boutique toilettes » ?
Une « boutique-toilettes » désigne un espace de sanitaires publics payants haut de gamme. Elles proposent un concept spécifique : un accès à des cabines de toilette au design travaillé (parfois équipées de technologies spécifiques comme des WC japonais) avec une surface de vente physique. Les clients peuvent y acheter des articles de soin, de cosmétique, de petite hygiène, ou des accessoires de bien-être tout en faisant leurs besoins.
Les griefs retenus
La CNIL a identifié plusieurs manquements majeurs aux principes fondamentaux du RGPD lors du déploiement d’un système de surveillance pour des boutiques-toilettes :
- Minimisation des données (vidéosurveillance) : Les caméras filmaient des espaces de manière excessive et disproportionnée, empiétant de fait sur la vie privée des personnes et des employés sans nécessité absolue (comme la surveillance continue et intrusive des postes de travail ou de zones de repos).
- Défaut d’encadrement des relations avec le sous-traitant : La société a manqué à son devoir de formalisation contractuelle (article 28 du RGPD) avec le prestataire externe en charge de la gestion et de la maintenance du système de sécurité.
- Obligation de réaliser une analyse d’impact (AIPD) : S’agissant d’un dispositif de surveillance systématique de l’espace de vente et des accès publics, l’organisme n’a pas procédé à l’évaluation d’impact sur la vie privée préalable, pourtant requise par la réglementation.
L’affaire IQVIA : l’amende à 5 millions d’euros sur les données de santé
C’est sans conteste la décision phare de ce trimestre. Le 26 mai 2026 , la formation restreinte de la CNIL a prononcé une amende administrative de 5 millions d’euros à l’encontre de la société IQVIA OPERATIONS FRANCE, dans le cadre de son entrepôt de données de santé.
L’organisme ciblé : IQVIA OPERATIONS FRANCE (gestionnaire d’entrepôts de données de santé alimentés par des milliers de pharmacies et de médecins partenaires).
Le sujet : La constitution et la gestion d’entrepôts de données de santé (nommés LRX et EMR).
La sanction : Une amende de 5 000 000 €, doublée d’injonctions de mise en conformité sous un délai de 6 mois sous peine d’astreinte financière.
Les griefs retenus
La CNIL a mené des investigations approfondies au sein de la société et auprès de pharmacies partenaires. Elle a constaté un non-respect flagrant des conditions fixées par les autorisations préalables obligatoires requises pour ces fichiers de santé (au titre de l’article 66 de la Loi Informatique et Libertés) :
- Défaut majeur de sécurité : Absence d’authentification multifacteur (MFA) pour l’accès à l’entrepôt EMR, et absence d’analyse régulière des journaux de connexion (logs), empêchant la détection d’accès suspects ou malveillants.
- Déficit d’information : La notice d’information remise aux patients contenait des mentions inexactes sur le traitement de leurs données.
- Entrave aux droits des personnes : Aucune procédure effective n’existait pour permettre aux patients de s’opposer au traitement de leurs données de santé au sein du dispositif EMR.
Note sur la défense de la société IQVIA
Pour se défendre, la société s’est appuyée sur l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 4 septembre 2025
(dit « arrêt SRB ») pour soutenir que ses données étaient anonymes et que le RGPD ne s’appliquait pas. La CNIL a fermement rejeté cette interprétation : des données de santé liées à des profils individuels, même dépouillées d’identifiants directs, restent des données pseudonymisées (et non anonymisées) dès lors qu’un risque de ré-identification persiste par recoupement.
Outre le fait que la société ait volontairement respecté les conditions prévues à la Loi Informatique et Libertés, ce qui atteste qu’elle comprenait bien la portée de la transformation des données et leur caractère toujours personnel, la CNIL relève à juste titre que les mesures et techniques mises en oeuvre par la société permettaient une ré-identification des personnes concernées avec des moyens raisonnables (recherches avec des données publiquement accessibles en ligne).
Concernant les « moyens raisonnables »
La mention de « moyens raisonnables » est présente à plusieurs reprises dans le RGPD et la Loi Informatique et Libertés. Les organismes n’ayant pas tous les moyens d’un Google ou d’un Meta, il est précisé qu’ils doivent mettre en oeuvre des « moyens raisonnables » quand il s’agit d’informer de grands volumes de personnes, de sécuriser leurs données ou d’en éviter la ré-identification. Bien qu’il n’existe pas d’échelle pour déterminer les « moyens raisonnables » que peut mettre en oeuvre un organisme, nous en connaissons les critères : le secteur d’activité, le chiffre d’affaires, la taille de l’organisme, les compétences disponibles en interne, les outils et machines déjà présents, achetés ou développés, …
Recours accru à la « procédure simplifiée »
Si l’affaire IQVIA a capté l’attention des médias nationaux, l’activité répressive « de tous les jours » de la CNIL s’est illustrée par son recours accru à la procédure simplifiée. Pour rappel, cette procédure permet au président de la formation restreinte de statuer seul sur des dossiers ne présentant pas de complexité juridique majeure, avec un plafond d’amende fixé à 20 000 €.
Cette procédure simplifiée permet, pour les affaires les plus simples ou les moins graves, de prononcer des sanctions plus rapidement et de désengorger ainsi les services de la CNIL.
Dans son bilan intermédiaire publié le 6 juillet 2026, la CNIL indique avoir prononcé 23 sanctions simplifiées depuis le début de l’année pour un montant global de 133 750 €.
La décision « Boutiques Toilettes » du 2 avril en est l’illustration parfaite : les PME et commerces de proximité font l’objet d’un contrôle de plus en plus agile et systématique de leurs pratiques quotidiennes (vidéosurveillance, gestion des sous-traitants, …).



