La CNIL a mis un coup d'accélérateur depuis le début de l'année, avec 23 sanctions simplifiées prononcées pour des caméras trop curieuses ou des cookies non conformes. Et souvent, tout part de plaintes de particuliers.

La CNIL serre la vis sur les cookies et la vidéosurveillance au travail. © HJBC / Shutterstock
La CNIL serre la vis sur les cookies et la vidéosurveillance au travail. © HJBC / Shutterstock

Qu'il s'agisse de demandes de données ignorées, de vidéosurveillance abusive ou de bandeaux cookies trompeurs, la Commission nationale de l'informatique et des libertés (CNIL) n'a pas chômé en ce début d'année 2026. Grâce à sa procédure simplifiée, qui permet de sanctionner plus vite les dossiers sans complexité juridique, l'autorité a déjà infligé 23 amendes depuis janvier, pour un total de 133 750 euros, dont 19 ouvertes à la suite de plaintes de particuliers, comme elle le rappelle ce lundi 6 juillet 2026. Même si beaucoup considèrent, parfois à raison, que les sanctions ne sont pas à la hauteur des manquements, n'oublions pas que rien qu'en 2025, les autorités européennes avaient distribué 1,15 milliard d'euros d'amendes liées au RGPD, un record absolu.

Salariés sous surveillance : la CNIL rappelle les règles de la vidéoprotection

La CNIL en fait un vrai cheval de bataille, je veux bien sûr parler de la vidéosurveillance au travail. Plusieurs entreprises de la restauration rapide, du transport urbain ou de l'exploitation de commerces en gare ont été épinglées en 2026 pour avoir filmé leurs employés en continu, sans justification particulière, et cela constitue un manquement direct au principe de minimisation des données imposé par le RGPD, censé encadrer strictement ce que les employeurs peuvent collecter. Ce n'est pas la première fois que ce sujet fait grincer des dents, car en octobre 2025, la CNIL avait déjà sanctionné des dispositifs de caméras au travail jugés abusifs, aux côtés d'autres manquements comme des jeux-concours truqués.

Certaines de ces sociétés opéraient même sans autorisation préfectorale, une obligation pourtant incontournable pour tout dispositif de vidéoprotection installé sur le lieu de travail. La CNIL rappelle que la surveillance filmée ne doit jamais devenir la norme, sauf circonstances exceptionnelles clairement établies, que le lieu soit ouvert au public ou réservé aux seuls salariés. Un rappel à l'ordre qui fait écho à l'affaire d'Amazon France Logistique, dont le Conseil d'État avait confirmé fin décembre 2025 le manquement au principe de minimisation pour avoir conservé un mois durant les données de surveillance de ses salariés, même si la CNIL fut aussi en partie désavouée par la plus haute des juridictions administratives du pays.

Ces décisions montrent en tout cas que la CNIL entend faire respecter le fait que le lieu de travail n'est pas un plateau de télé-réalité. Fidèle au fonctionnement de la procédure simplifiée, l'institution ne dévoile jamais le nom des entreprises concernées, ce que ceux qui aspirent à une transparence auprès du grand public regrettent, mais le message envoyé aux employeurs peu scrupuleux, lui, est on ne peut plus clair.

Cookies non conformes : la CNIL traque les mauvaises pratiques. © GraphicsN / Shutterstock
Cookies non conformes : la CNIL traque les mauvaises pratiques. © GraphicsN / Shutterstock

Sur les cookies trompeurs, la CNIL remet les pendules à l'heure

Le second chantier du gendarme des données se porte sur les cookies, ces fameux petits témoins de connexion. En contrôlant plusieurs sites, notamment de billetterie en ligne ou de télémarketing, la CNIL a découvert des bandeaux d'information incomplets, qui omettaient à la fois les finalités des cookies, l'identité du responsable de traitement et la marche à suivre pour retirer son consentement.

Pire encore, certains sites plaçaient des cookies publicitaires avant même que l'internaute n'ait donné son accord. D'autres affichaient un bouton pour tout accepter en un clic, bien visible, mais reléguaient le refus derrière un menu « personnaliser », qu'il fallait ouvrir pour accéder à une interface dédiée, ce qui est contraire à la loi Informatique et Libertés, qui impose un refus aussi simple que l'acceptation.

On note aussi que sur les 23 sanctions prononcées par la CNIL au titre de la procédure simplifiée, 8 concernent des demandes de droits d'accès ou d'effacement mal traitées, dont 4 assorties d'un défaut de coopération avec l'autorité. Certains professionnels, comme des avocats ou médecins, n'ont même pas répondu aux sollicitations de l'institution dans le cadre de plaintes. Du coup, ils ont reçu une amende assortie d'une injonction à répondre, puis, faute de réaction, le paiement d'une astreinte financière. Il faut rappeler que la coopération avec la CNIL reste une obligation légale, pas une option ni une suggestion. Pour rappel, ces sanctions simplifiées restent plafonnées à 20 000 euros par manquement et ne sont jamais rendues publiques, contrairement aux amendes record dont la presse se fait régulièrement l'écho.