Le 6 juillet 2026, la CNIL a annoncé avoir prononcé un total de 23 nouvelles sanctions depuis le début de l’année dans le cadre de sa procédure de sanction simplifiée, instaurée en 2022 afin de traiter plus rapidement les dossiers ne présentant pas de difficulté juridique particulière. Le montant total des sanctions s’élève à 133.750 euros et sera reversé au budget de l’Etat. Parmi elles, 19 de ces sanctions font suite à des plaintes.
La procédure de sanction simplifiée permet au président de la formation restreinte, ou un de ses membres, de décider seul de la sanction, qui ne peut excéder la somme de 20.000 euros. La CNIL ne peut alors pas divulguer l’identité de l’organisme sanctionné.
Cette procédure a pour but de rendre plus rapide l’action répressive afin de garantir les droits des personnes concernées.
Sur ces 23 sanctions, la CNIL a identifié trois principales catégories de manquements :
En premier lieu, plusieurs entreprises, notamment dans le domaine de la restauration rapide, du transport urbain ou de l’exploitation de commerces dans les gares ferroviaires, ont été sanctionnées pour des dispositifs de vidéosurveillances non conformes aux articles 5.1.a et 5.1.c du RGPD. La CNIL a relevé soit l’absence d’autorisation préfectorale alors qu’elle était requise, soit une surveillance permanente des salariés, ce qui a constitué un manquement au principe de minimisation de collecte des données.
La CNIL rappelle que l’utilisation des caméras de vidéosurveillance dans les lieux de travail doit respecter la vie privée des salariés et être strictement proportionnée au regard de la finalité poursuivie en l’absence de circonstance exceptionnelle justifiant leur utilisation.
En deuxième lieu, plusieurs organismes ont été sanctionnés pour des manquements aux règles relatives aux cookies. La CNIL a constaté à la suite de plusieurs contrôles, notamment de sites web proposant la vente de billet en ligne ou exerçant des activités de télémercatique, que les bandeaux d’information relatifs aux cookies étaient incomplets ou présentaient un consentement non conforme. En effet, certains bandeaux n’informaient pas les utilisateurs sur les finalités des cookies, sur le responsable de traitement ou ne proposaient pas de moyen pour refuser les cookies aussi simple que pour les accepter.
La CNIL rappelle qu’un tel mécanisme est contraire au principe de consentement et à l’article 82 de la loi Informatique et Libertés.
Enfin, 8 sanctions concernent le non-respect des demandes d’accès ou d’effacement des données personnelles des plaignants, dont 4 de ces manquements étaient accompagnés d’un défaut de coopération avec la CNIL.
Certains organismes n’ayant pas répondu aux sollicitations, ont pu faire l’objet d’une amende assortie d’une injonction de répondre à la demande des plaignants, voire la liquidation d’astreintes en cas de persistance de manquement.
La CNIL rappelle que la coopération est une obligation légale au sens de l’article 18 de la loi Informatique et Libertés.