Le premier trimestre de l’année 2026 a été particulièrement fructueuse pour la Commission Nationale de l’Informatique et des Libertés (CNIL). Avec plus de 47 millions d’euros d’amendes cumulées en trois mois, la CNIL montre qu’elle sait faire preuve de sévérité face à des organismes de taille importante.
Les amendes les plus importantes : Free et France travail sanctionnés
Les opérateurs de téléphonie Free et Free Mobile : 42 millions € d’amende
Après avoir reçu plus de 2500 plaintes de personnes concernées à l’encontre des sociétés Free et Free Mobile, la CNIL a opéré un contrôle auprès des sociétés de téléphonie.
Il s’avère que Free et Free Mobile ont subi, il y a quelques mois, une violation de données. Les clients avaient été prévenus par e-mail de la survenance de la violation, et des données qui avaient fuité (notamment des IBAN). Un numéro vert était également à disposition des clients afin que ceux-ci puissent obtenir plus d’informations sur la violation qui a eu lieu.
Durant son contrôle, la CNIL à relevé plusieurs défauts de conformité qui ont justifié que les sociétés Free et Free Mobile soient sanctionnées d’amendes à hauteur de 15 millions € et 27 millions € (respectivement) :
- Communication de la violation auprès des personnes concernées insuffisante
Après prise de connaissance et analyse de la communication envoyée aux clients concernant la violation de données, la CNIL a considéré que les sociétés avaient été laxistes dans la rédaction du contenu, et omis plusieurs informations rendues pourtant obligatoires par l’article 34 du RGPD.
- Défaut de sécurisation des environnements informatiques
Après prise de connaissance et analyse des éléments connus de la violation, notamment les chemins / méthodes d’accès aux données, la CNIL a considéré que les sociétés n’avaient pas suffisamment assuré la sécurité des données personnelles, au regard aussi du type et du volume de données traitées.
VPN insuffisamment robuste, logs insuffisantes et analyses de comportement utilisateurs anormaux inefficaces justifient pour la CNIL une sanction, notamment en prenant en compte l’importance de ces entreprises dans le secteur français de la téléphonie.
- Des données conservées trop longtemps
La CNIL a également identifié un problème récurrent chez tous les organismes : une conservation trop longue des données personnelles.
Alors que l’article 5 du RGPD impose aux acteurs publics et privés, hors exceptions, de supprimer au bout d’un certain les données personnelles, Free et Free Mobile disposaient encore de millions de données d’abonnés actuels ou anciens, sans pouvoir justifier leur conservation.
France Travail (anciennement Pôle Emploi) : 5 millions € d’amende
Après que France Travail ait subi une violation de données début 2024, la CNIL s’etait donné pour mission de contrôler l’organisme public.
En cause : de graves défauts de sécurité ayant permis à des attaquants d’usurper les comptes de conseillers CAP EMPLOI et d’accéder ainsi aux données personnelles et dossiers (incomplets) de l’ensemble des personnes inscrites à France Travail dans les 20 dernières années.
En raison du statut d’établissement public de France Travail, dont le budget provient principalement des cotisations sociales, l’amende prononcée ne pouvait dépasser 10 millions €, les amendes plus importantes n’étant prononcées qu’en cas de récidive, ou en cas de réalisation d’un chiffre d’affaires important.
Par ailleurs, la CNIL a également prononcée une injonction à France Travail, assortie d’une astreinte : dans un délai non publié communiqué à France Travail, l’organisme doit avoir (re)sécurisé ses méthodes d’authentification, ses outils de journalisation, mis à jour ses habilitations d’accès aux données, … sous peine d’une amende complémentaire de 5000 € par jour de retard.
Les « petites sanctions »
Candidat aux élections législatives (information et droit des personnes)
La sanction prononcée à l’encontre d’un candidat aux dernières élections législatives n’a pas été publiée, afin probablement de ne pas lui causer un tort excessif.
La CNIL annonce néanmoins avoir, durant la mois de janvier 2026, sanctionné ce candidat pour information insuffisante des personnes sur leurs droits (ceux prévus aux articles 15 à 22 du RGPD, ainsi que dans la Loi Informatique et Libertés) et pour avoir failli à respecter une demande d’exercice de droit d’accès.
L’amende faible (2000 €) est assorti d’une injonction de répondre à la demande de la personne concernée.
Association religieuse (vidéoprotection)
Une association religieuse dont le nom n’est pas publié a été condamnée à une amende administrative de 10 000 € ainsi qu’à une injonction de mettre à jour les mentions d’information relatives à leur traitement de vidéoprotection.
Il semblerait que les personnes enregistrées par les caméras de vidéoprotection n’étaient pas correctement informées du traitement mis en oeuvre.
Professionnels libéraux (absence de réponse à une injonction CNIL)
La CNIL, dans le cadre de sa procédure simplifiée, à liquidé l’astreinte de deux professionnels libéraux qui n’ont pas respecté ses injonctions (1 000 €).
Malgré la légèreté des sanctions, la CNIL vient rappeler que mêmes des professionnels libéraux, petits cabinets, auto-entrepreneurs, etc. (tout organisme, même de très petite taille) doivent respecter le RGPD.
Ministère (durées de conservation et sécurité)
Un ministère indéterminé a reçu un rappel à l’ordre, ainsi qu’une injonction à se mettre en conformité. La CNIL lui reproche notamment la conservation de données pour des durées trop importantes, ainsi que des défauts de sécurité. Pourrait-ce être le ministère de l’intérieur, qui a déjà subi plusieurs violations de données durant les derniers mois ?
Les autres sanctions
Pour un résumé des autres sanctions prononcées, des montants et des raisons, la CNIL met à disposition un tableau récapitulatif sur son site.
La conformité, ça ne concerne pas que les plus grands !
Dans le pannel des sanctions prononcées, et à côté des amendes qui se comptent en millions d’euros, il est important de noter que certaines sanctions moins sévères sont prononcées à l’encontre d’organismes de petites tailles (5 000 €, 3 000 €, 800 €, …).
Afin de pouvoir contrôler et sanctionner plus efficacement même les organismes traitant de volumes faibles de données, la CNIL s’est doté d’une « procédure simplifiée » qui semble faire des merveilles (ou des ravages).
Petite boite, grands groupes, la conformité n’est pas une affaire de taille : les règles à respecter sont les mêmes.
Assurez-vous auprès de professionnels de la protection des données de faire ce qu’il faut !
