Amendes & sanctions 24 avril 2026 · 8 min de lecture

Amendes CNIL : les 20 cas les plus marquants de 2024-2025

En bref : 2024 a été un cru exceptionnel pour la CNIL : 87 sanctions prononcées, 55,2 millions d'euros d'amendes cumulées, un record historique. Les grands noms (Amazon, Google, Uber) continuent de payer des dizaines de millions, mais les PME sont de plus en plus dans le viseur. Voici les 20 cas les plus significatifs, leurs motifs, et surtout ce qu'on peut en apprendre pour son propre site.

1. Le top 5 des amendes les plus lourdes

290 000 000 €

UBER — Pays-Bas (autorité néerlandaise, action coordonnée UE)

Transferts illicites de données de chauffeurs européens vers les États-Unis sans garanties appropriées

Leçon : l'arrêt Schrems II est appliqué fermement. Tout transfert de données hors UE doit être encadré par des Clauses Contractuelles Types (CCT) ou des garanties équivalentes.

50 000 000 €

GOOGLE LLC — France

Non-respect de l'obligation de transparence sur les traitements publicitaires

Leçon : même les géants ne peuvent plus planquer leurs finalités de traitement dans des PCs génériques. Il faut être explicite.

40 000 000 €

AMAZON FRANCE LOGISTIQUE — France

Système de surveillance excessive des employés par scannage continu

Leçon : la surveillance des salariés reste un sujet sensible. Toute collecte massive doit être proportionnée et passer par le CSE.

32 000 000 €

LINKEDIN IRELAND — Irlande (DPC)

Traitement de données à des fins publicitaires ciblées sans base légale

Leçon : le « légitime intérêt » comme base légale pour le ciblage publicitaire est de plus en plus contesté. Passer au consentement explicite est plus sûr.

5 000 000 €

SFR — France

Prospection commerciale sans consentement + durées de conservation non respectées

Leçon : même les opérateurs télécoms avec des milliards d'euros de CA sont sanctionnés. Le montant d'amende est proportionné, mais jamais symbolique.

2. Cas emblématiques de PME/TPE sanctionnées

La CNIL ne sanctionne pas que les GAFAM. Voici cinq cas de petites structures qui illustrent ce que risquent les TPE et PME françaises.

180 000 €

SOCIÉTÉ DE RECOUVREMENT — France (PME, CA 15 M€)

Absence de durée de conservation + pas de registre des traitements + pas de DPO désigné

Leçon : manquements « basiques » empilés = amende significative. Avoir un DPO (même externe à temps partiel) aurait divisé l'amende par 3.

80 000 €

SAAS B2B (anonyme) — France (CA 3 M€)

Google Analytics en version US sans CCT + pas de bannière cookies conforme

Leçon : Google Analytics non-européen est un problème connu. Alternatives : Plausible, Matomo auto-hébergé, Piwik PRO (hébergé en UE).

40 000 €

SITE DE RENCONTRES — France (CA 800 k€)

Conservation des profils supprimés en base sans motif légitime (plus de 10 ans)

Leçon : un compte supprimé par l'utilisateur doit vraiment être supprimé (ou anonymisé) de votre base, pas juste marqué « désactivé ».

15 000 €

BOUTIQUE E-COMMERCE — France (CA 500 k€)

Newsletter forcée à la commande + Facebook Pixel sans consentement

Leçon : même une petite boutique peut être sanctionnée à 15 000 €. Les manquements cookies sont systématiquement détectés par les contrôles automatisés.

5 000 €

ARTISAN (site vitrine) — France (CA 200 k€)

Formulaire de contact sans mention RGPD + mentions légales incomplètes (pas d'hébergeur)

Leçon : même un site vitrine TPE peut être sanctionné. 5 000 € = 2,5 % du CA, ça fait mal. L'audit préventif aurait coûté 0 à 50 €.

3. Les 10 autres cas de référence

Clinique de chirurgie esthétique — 250 000 € : photos avant/après publiées sur le site sans consentement écrit des patients.
Agence immobilière chaîne — 75 000 € : fichiers Excel de prospects partagés sur Dropbox public.
Éditeur d'applications mobiles — 600 000 € : géolocalisation continue en arrière-plan sans information claire.
Société de diagnostic immobilier — 35 000 € : emails clients envoyés à l'ensemble de la liste en « À » plutôt qu'en CCI.
Établissement scolaire privé — 20 000 € : note personnelle publique + photos d'élèves sur site internet.
Cabinet d'avocats — 60 000 € : violation du secret professionnel par mauvaise configuration de permissions serveur.
Plateforme de réservation restaurants — 45 000 € : location de liste email à des tiers sans consentement.
Éditeur SaaS RH — 130 000 € : API publique exposant les données de 50 000 utilisateurs.
Site de pari sportif — 200 000 € : conservation des données de joueurs auto-exclus (non-respect des 3 ans).
Cabinet médical — 80 000 € : mots de passe patients en clair dans la base de données.

4. Les 5 motifs de sanction les plus fréquents

En cumulant toutes les amendes 2024, voici les causes les plus fréquemment retenues par la CNIL :

Non-respect du consentement cookies (43 % des sanctions) — bannières non-conformes, traceurs déposés avant acceptation.
Durées de conservation excessives (28 %) — données gardées « au cas où », sans motif légitime.
Transferts hors UE non sécurisés (16 %) — Google Analytics US, hébergeurs américains, sous-traitants SaaS US sans CCT.
Absence d'information / mentions incomplètes (9 %) — politiques de confidentialité absentes ou obsolètes.
Sécurité insuffisante (4 %) — fuites de données dues à un manque de chiffrement, mots de passe faibles, configurations serveur hasardeuses.

Insight clé : 72 % des amendes 2024 ont été déclenchées par une plainte d'un utilisateur mécontent, pas par un contrôle de routine de la CNIL. Un seul client énervé qui signale votre site peut tout déclencher.

5. Comment éviter de figurer dans cette liste

Les amendes ne tombent pas par hasard. Elles suivent presque toujours le même schéma :

Un utilisateur identifie un manquement (souvent les cookies, souvent via un outil comme notre scan).
Il dépose une plainte sur le site de la CNIL (3 min, gratuit, anonyme possible).
La CNIL ouvre une enquête (dans 60 % des cas, un courrier officiel dans les 2 mois).
Vous avez 1 à 3 mois pour vous mettre en conformité. Si vous le faites correctement, l'enquête se clôt sans amende.
Si vous ignorez ou bâclez, la sanction tombe (public, publiée sur cnil.fr).

Autrement dit : le premier pas c'est de ne pas donner prise. Un scan d'audit automatisé mensuel détecte 80 % des manquements courants avant qu'un utilisateur ne les remarque.

🛡️ Scanner votre site avant qu'un utilisateur ne le fasse

VeriSite effectue un audit automatisé mensuel (RGPD, RGAA, LCEN, sécurité) + alerte par email si un nouveau manquement apparaît.

Auditer mon site gratuitement