Depuis son instauration en 2022, la procédure simplifiée de la CNIL offre un raccourci administratif pour sanctionner rapidement les manquements ne présentant pas de complexité juridique particulière. Six mois après le début de l’année 2026, le bilan est tangible : 23 sanctions prononcées pour un total de 133 750 euros. Un dispositif qui révèle son efficacité face aux infractions récurrentes en matière de protection des données personnelles.
Comprendre la procédure simplifiée : un mécanisme créé pour l’efficacité
Origines et objectifs : pourquoi la CNIL a créé cette procédure en 2022
Face à l’accumulation des dossiers de conformité RGPD, la Commission Nationale de l’Informatique et des Libertés a introduit en 2022 un outil de répression accélérée. La procédure simplifiée cible les infractions répétitives et sans ambiguïté juridique : vidéosurveillance abusive, cookies non conformes, refus d’accès aux données. L’objectif affiché consiste à désengorger la formation restreinte, instance collégiale qui traite les dossiers complexes, tout en maintenant une pression répressive sur les manquements courants. Selon la CNIL, « la procédure simplifiée est, depuis 2022, une procédure de sanction de la CNIL adaptée aux dossiers ne présentant pas de difficulté juridique particulière. »
Fonctionnement : décision individuelle vs procédure ordinaire collégiale
Contrairement à la procédure ordinaire qui mobilise plusieurs membres de la formation restreinte lors d’une audience contradictoire, la procédure simplifiée repose sur une décision individuelle. Le président de la formation restreinte, ou un autre membre désigné, statue seul après examen du dossier. L’organisme mis en cause peut présenter ses observations écrites, mais aucune audience publique n’a lieu. L’instruction demeure contradictoire, mais le processus gagne en rapidité : quelques semaines suffisent là où la procédure ordinaire exige plusieurs mois, voire plus d’un an dans les affaires complexes.
Cadre légal : un plafond de 20 000 euros et l’absence de publication du nom
Les sanctions simplifiées obéissent à deux contraintes majeures. D’abord, le montant de l’amende ne peut excéder 20 000 euros, un plafond qui exclut les infractions graves ou récidivantes. Ensuite, l’identité de l’organisme sanctionné reste confidentielle : aucune publication nominative n’intervient sur le site de la CNIL, contrairement aux décisions de la formation restreinte. L’autorité justifie cet anonymat par la nature limitée des manquements et la volonté d’encourager la mise en conformité rapide sans stigmatisation publique. Les amendes, recouvrées par le Trésor public, alimentent le budget de l’État.
Les résultats depuis janvier 2026 : chiffres et tendances
23 sanctions pour 133 750 euros : une moyenne de 5 815 euros par dossier
Sur les six premiers mois de 2026, la CNIL a prononcé 23 sanctions simplifiées totalisant 133 750 euros. La moyenne arithmétique s’établit à 5 815 euros par dossier, bien en deçà du plafond légal. Les montants varient selon la gravité du manquement, la taille de l’organisme et sa coopération avec l’autorité. Aucune sanction n’a atteint les 20 000 euros maximum, signe que les infractions traitées relèvent de négligences ou de défauts de mise en conformité plutôt que de violations délibérées à grande échelle. Les plaintes des particuliers ont joué un rôle déterminant dans l’identification de ces manquements.
Trois catégories de manquements : vidéosurveillance, cookies et droits RGPD
Les 23 sanctions se répartissent en trois familles distinctes. La vidéosurveillance abusive en milieu professionnel arrive en tête, suivie des cookies déposés sans consentement préalable sur les sites web. Enfin, huit dossiers concernent le non-respect des droits d’accès ou d’effacement garantis par le RGPD. Chaque catégorie révèle des pratiques récurrentes : caméras filmant en continu les postes de travail, bannières de cookies privilégiant l’acceptation au détriment du refus, absence de réponse aux demandes d’exercice des droits. La CNIL rappelle que « les caméras ne doivent en aucun cas filmer en permanence les salariés si aucune circonstance exceptionnelle ne le justifie. »
Manquements à la vidéosurveillance : restauration rapide et transports
Plusieurs entreprises de restauration rapide, de transport urbain et de commerces en gare ont écopé de sanctions pour surveillance vidéo permanente sans justification. Les caméras installées filmaient les salariés durant l’intégralité de leur temps de travail, violant le principe de minimisation des données. La CNIL exige que la vidéosurveillance se limite aux zones sensibles (caisses, accès sécurisés) et ne capte pas les postes de travail ordinaires. Les employeurs doivent également informer clairement les salariés et respecter les durées de conservation des enregistrements, fixées à un mois maximum sauf exceptions.
Non-respect des droits d’accès et d’effacement : 8 cas dont 4 avec défaut de coopération
Huit sanctions visent des organismes ayant ignoré les demandes d’accès ou d’effacement de données personnelles. Quatre de ces dossiers incluent un défaut de coopération avec la CNIL : absence de réponse aux mises en demeure, refus de transmettre les documents demandés lors de l’instruction. Le RGPD impose aux responsables de traitement de répondre dans un délai d’un mois, prolongeable une fois. Le silence ou les réponses évasives constituent des violations aggravantes, sanctionnées plus lourdement. Les particuliers disposent désormais d’un levier efficace pour faire valoir leurs droits.
Le rôle déterminant des plaintes citoyennes
19 sanctions sur 23 initiées par des particuliers : analyse d’un phénomène
Dix-neuf des 23 sanctions trouvent leur origine dans des plaintes de particuliers, soit 83 % du total. Les contrôles initiés d’office par la CNIL ne représentent que quatre dossiers. Un phénomène révélateur : les citoyens maîtrisent mieux leurs droits RGPD et n’hésitent plus à signaler les manquements. La plateforme en ligne de la CNIL facilite les démarches, permettant de joindre directement les preuves (captures d’écran, échanges de courriels). L’autorité traite chaque signalement et décide d’ouvrir ou non une procédure selon la gravité et la recevabilité. Les plaintes concernant les cookies et la vidéosurveillance dominent, reflétant les préoccupations quotidiennes des usagers. Un lien vers d’autres affaires récentes de protection des données illustre l’ampleur du phénomène.

