La Commission nationale de l’informatique et des libertés (CNIL) vient de publier :

• son rapport de contrôle pour 2025 présentant les sanctions et mesures correctives prononcées en cas de violation du RGPD et de la loi française sur la protection des données – disponible ici ;
• ses priorités de contrôle pour 2026, accompagnées d’une liste des domaines prioritaires pour les contrôles de cette année – disponible ici.

Priorités de contrôle de la CNIL pour 2026

La CNIL mène plusieurs centaines de contrôles chaque année, déclenchés par des réclamations, des actions antérieures, des signalements ou l’actualité. Environ 20 % de ces contrôles s’inscrivent dans le cadre de thèmes prioritaires annuels liés aux principaux risques en matière de protection des données.

Pour 2026, les thèmes clés identifiés sont les suivants :

1. Pratiques de recrutement : dans le prolongement du guide 2023 de la CNIL sur les données des candidats, la CNIL vérifiera la mise en œuvre de ce guide, en mettant particulièrement l’accent sur la prise de décision automatisée, l’information des candidats et la conservation des données. Les grandes entreprises et les cabinets de recrutement sont principalement visés en raison du volume de candidatures traitées.

2. Registre électoral unique (REU) : la CNIL vérifiera l’utilisation licite des données des électeurs et détectera toute utilisation abusive de cette base de données centralisée gérée par l’INSEE.

3. Fédérations sportives : à la suite des Jeux Olympiques et Paralympiques de Paris 2024 et de l’augmentation des inscriptions dans les clubs et fédérations sportives, la CNIL entend vérifier la pertinence des données collectées, leur durée de conservation et les mesures de sécurité mises en place, ce secteur ayant été particulièrement visé par de récentes cyberattaques.

4. Information et transparence : dans le cadre de la cinquième action du Cadre de mise en œuvre coordonné (CEF), la CNIL et ses homologues européens mèneront des contrôles concernant la transparence et l’exhaustivité des informations fournies aux personnes concernées.

Plan stratégique de la CNIL pour 2025-2028. Dans son plan stratégique pour 2025-2028 (accessible ici), la CNIL avait également identifié l’IA comme l’une de ses principales priorités réglementaires aux côtés de la cybersécurité et de la protection des mineurs en ligne. La CNIL entend renforcer ses capacités de conformité et de contrôle concernant les systèmes d’IA afin de garantir le respect du RGPD.

Application de la loi par la CNIL en 2025 : Informations clés

Chiffres clés. En 2025, la CNIL a rendu 259 décisions, dont 83 sanctions, parmi lesquelles 10 ont été rendues publiques.

Le montant total des amendes s’est élevé à environ 486,8 millions d’euros. En 2024, la CNIL a rendu 331 décisions, dont 87 sanctions pour un montant total de 55,2 millions d’euros, tandis qu’en 2023, la CNIL a infligé 42 amendes totalisant près de 90 millions d’euros.

Thèmes récurrents. Les infractions les plus fréquentes concernaient :

• l’utilisation abusive des cookies et des dispositifs de suivi ;
• la surveillance des employés ; et
• le non-respect des obligations incombant aux sous-traitants (article 28 du RGPD).

Procédure simplifiée. Sur les 83 sanctions, 67 ont été prononcées dans le cadre de la procédure simplifiée prévue par l’article 22-1 de la loi française sur la protection des données, en vigueur depuis 2022. Dans le cadre de cette procédure simplifiée, le président de la commission restreinte — ou un membre désigné par le président — peut rendre seul une décision de sanction, après échange d’observations écrites entre la CNIL et le défendeur. Le décideur peut prononcer un avertissement, une injonction de mise en conformité ou une amende administrative pouvant aller jusqu’à 20 000 euros.

Focus : 2025 Mesures coercitives liées à la vidéosurveillance des salariés

La surveillance des salariés sur le lieu de travail est un domaine d’intervention prioritaire pour la CNIL. En 2025, 16 organismes ont été sanctionnés pour des problèmes liés à la vidéosurveillance des salariés – soit 20 % de l’ensemble des sanctions prononcées en 2025.

Parmi les violations typiques des droits des employés figuraient :

• la surveillance continue des employés ;
• des caméras filmant directement les postes de travail (comptoirs de magasin, bureaux, etc.) ;
• des caméras cachées ;
• l’absence d’information des employés ou des visiteurs concernant la surveillance.

Surveillance excessive des employés. La surveillance continue des employés porte atteinte aux droits à la protection des données des employés, sauf si des circonstances exceptionnelles liées au vol ou à la sécurité sont démontrées.

Caméras cachées. La CNIL a infligé une amende de 100 000 € à une entreprise de vente au détail qui avait installé des caméras cachées dissimulées dans des détecteurs de fumée, lesquelles enregistraient également le son. La CNIL considère que les caméras cachées ne peuvent être utilisées que dans des circonstances exceptionnelles, lorsqu’il existe une justification solide et que le droit à la vie privée des employés est soigneusement pris en compte. Ces systèmes peuvent par exemple être temporaires. Les caméras cachées ne doivent être déployées qu’après une analyse approfondie de leur conformité au RGPD, en fonction des circonstances détaillées.