La CNIL dispose d’une procédure simplifiée de sanction, mise en œuvre notamment depuis 2022. En 2025, on observe deux jalons marquants :
-
Au 22 mai 2025, dix sanctions simplifiées avaient été prononcées depuis janvier, pour un montant cumulé d’environ 104 000 €.
-
Au 13 octobre 2025, la rubrique « Sanctions » du site de la CNIL mentionne que seize nouvelles sanctions ont été prononcées dans ce cadre depuis mai 2025.
Ces chiffres montrent que la CNIL maintient un rythme d’action via cette procédure. Toutefois, le montant global communiqué dans votre énoncé (108 000 €) ne correspond pas exactement aux chiffres publics (104 000 €) : il existe donc une incertitude sur la période exacte, le périmètre des décisions retenues et le montant total agrégé.
Thèmes et typologies de manquements fréquemment sanctionnés
Plusieurs grands types de manquements reviennent dans les décisions publiées :
-
Le principe de minimisation des données (art. 5.1 c) : par exemple, l’usage de vidéosurveillance ou de géolocalisation en continu sans justification adéquate.
-
Le défaut d’information des personnes concernées, la conservation excessive des données, et la sécurité des traitements.
Publicité -
Le manque de coopération avec la autorité de contrôle, notamment pour répondre aux sollicitations de la CNIL dans le cadre d’instructions.
-
Le non-respect du consentement ou de base légale en matière de prospection commerciale (article L. 34-5 et art. 6/7 RGPD) : même si les montants des sanctions via la procédure simplifiée sont modestes comparés aux grandes sanctions ordinaires. CNIL+1
Ainsi, l’autorité met l’accent sur les pratiques internes de surveillance (salariés, lieux de travail), la gestion des traceurs/consentements, la transparence vis-à-vis des personnes concernées, ainsi que la relation avec l’autorité.
Pourquoi ces décisions sont importantes pour un responsable de traitement
Le recours à la procédure simplifiée signifie que la sanction est plus rapide, et le message de la CNIL est que même des manquements « moindres » (par rapport aux millions d’euros) ne sont plus tolérés. Le montant des amendes dans ce cadre reste modéré mais cumulable et symbolique ; il souligne que la compliance ne relève plus du « bon vouloir » mais d’une exigence structurée.
Le fait que la surveillance des salariés soit un thème récurrent impose de revoir les dispositifs de vidéosurveillance, de géolocalisation, de monitoring afin de garantir qu’ils sont justifiés, proportionnés et documentés. Le défaut de coopération est perçu comme une circonstance aggravante : l’absence de réponse aux injonctions ou demandes de la CNIL peut conduire à sanction, même si le manquement initial paraît mineur.
Recommandations concrètes pour anticiper et limiter le risque
Voici les actions que je recommande :
-
Cartographier les dispositifs de surveillance et de suivi : pour chaque système (vidéosurveillance, géolocalisation, suivi des salariés, etc.), documenter l’objectif, la base légale, la durée de conservation, l’information des personnes. Vérifier la proportionnalité (principe de minimisation). DPO FRANCE propose un module de cartographie
-
Vérifier les formulaires de collecte de consentement et prospection : s’assurer que le consentement est libre, spécifique, éclairé, et que le refus est facile. Ce point est particulièrement surveillé.
-
Prévoir les modalités de coopération avec la CNIL : internaliser un processus de réponse rapide aux demandes de l’autorité, prévoir une liste de responsable « interface », et archiver les échanges. Un manquement à cette coopération fragilise la posture de conformité.
-
Mettre à jour la politique de conservation des données : pour chaque traitement, définir une durée de conservation adaptée au finalité, prévoir des revues régulières, et documenter les suppressions ou anonymisations.
-
Former les personnes impliquées : les responsables de traitement, les managers surveillant des dispositifs, les équipes marketing utilisant des données de prospection, doivent comprendre les obligations RGPD (minimisation, information, consentement, droits des personnes).
-
Effectuer un audit interne rapide : identifier les dispositifs « à risque » (surveillance continue, collecte massive, absence d’information) afin de prioriser les actions correctrices.
Limites et incertitudes à garder à l’esprit
Les données publiques rendent compte uniquement des décisions rendues publiques ; il peut exister d’autres sanctions non encore publiées ou dont le montant n’est pas agrégé. Le montant de 108 000 € mentionné dans l’énoncé ne est pas confirmé par les sources accessibles (on trouve 104 000 € à fin mai). Cela peut s’expliquer par des mises à jour ultérieures ou des décisions non encore détaillées.
La procédure simplifiée reste cantonnée à des montants relativement faibles ; pour des manquements plus graves ou des structures plus grandes l’autorité utilise la procédure ordinaire (avec des amendes beaucoup plus élevées). Chaque traitement est spécifique : les recommandations ci-dessus sont générales, il reste nécessaire de les adapter au secteur de l’organisation, à sa taille, à ses finalités et risques.
