Nous contacter
Presse
Télécharger le catalogue de formations

CNIL : vers une intensification durable de la politique de sanction ?

CNIL : vers une intensification durable de la politique de sanction ?

   News_français    25 février 2026  |  0

Les décisions rendues par la CNIL entre novembre 2025 et février 2026 traduisent une évolution nette dans l’exercice de son pouvoir répressif. Il ne s’agit plus seulement d’accompagner les acteurs économiques vers la conformité, mais d’exiger une conformité effective, structurée et
démontrable. Les montants des sanctions, la précision des manquements retenus et la publicité
assumée des décisions confirment un changement de rythme. La CNIL ne sanctionne plus
uniquement des incidents isolés ; elle examine la maturité globale de la gouvernance des
données.

La sécurité des données au cœur du contrôle (article 32 RGPD)

L’affaire France Travail illustre parfaitement cette centralité de la sécurité. L’autorité a
prononcé une amende de 5 millions d’euros en novembre 2025 à la suite d’une intrusion
reposant sur des techniques d’ingénierie sociale. Les attaquants ont exploité des failles
organisationnelles et des mécanismes d’authentification insuffisants, permettant l’accès à un
volume massif de données. Le manquement retenu repose sur l’article 32 du RGPD, qui impose
aux responsables de traitement et sous-traitants la mise en œuvre de mesures techniques et
organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Dans les décisions visant Free Mobile (27 millions d’euros) et Free (15 millions d’euros), la
CNIL adopte une approche systémique. Elle relève non seulement des défaillances de sécurité
notamment une authentification VPN insuffisamment robuste et une détection inefficace des
comportements anormaux, une conservation excessive des données contraire à l’article 5-1 mais
également un défaut d’information conforme à l’article 34 RGPD qui impose au responsable
du traitement d’informer directement les personnes dont les données ont été violé lorsque la
violation est susceptible d’engendrer un risque élevé pour leurs droits et liberté. L’autorité ne
se limite plus à constater la violation ; elle évalue l’architecture globale de gouvernance, depuis
la prévention du risque jusqu’à la gestion post-incident.

La sécurité devient ainsi un indicateur de maturité organisationnelle. L’article 32 n’est plus
interprété comme une obligation de moyens abstraite, mais comme une exigence concrète,
appréciée au regard de l’état de l’art, de la sensibilité des données et du volume concerné.

L’affaire NEXPUBLICA : l’éditeur logiciel comme acteur juridique à part entière

La décision rendue en janvier 2026 à l’encontre de NEXPUBLICA (1,7 million d’euros) est
particulièrement instructive. La société développait un progiciel utilisé notamment par des
MDPH. Des vulnérabilités avaient été identifiées par audits internes, mais les correctifs
n’avaient pas été apportés avant la survenance des violations de données. La CNIL a retenu un
manquement à l’article 32 RGPD, estimant que les failles relevaient d’une méconnaissance de
l’état de l’art et de principes élémentaires de sécurité.

Le point central de cette décision réside dans le choix du destinataire de la sanction. La CNIL
ne s’est pas tournée vers les MDPH utilisatrices du logiciel, mais vers l’éditeur lui-même. Ce
positionnement s’explique juridiquement par les articles 28 et 32 du RGPD. Le sous-traitant est
tenu de présenter des garanties suffisantes en matière de sécurité et doit mettre en œuvre des
mesures appropriées. Lorsque l’éditeur maîtrise l’architecture technique du traitement et
détermine les moyens de sécurité intégrés au logiciel, sa responsabilité ne peut être diluée.

L’éditeur de logiciel n’est donc pas un simple prestataire technique neutre. Il est un acteur
juridique de la chaîne de traitement, pleinement soumis aux obligations du RGPD. Cette
approche renforce la responsabilité des acteurs technologiques dans l’écosystème numérique.

La sanction de MOBIUS SOLUTIONS LTD en février 2026 à une amende de 1 million d’euros,
dans le cadre d’une violation liée à DEEZER, confirme cette tendance. Le sous-traitant avait
conservé des données après la fin du contrat, les avait utilisées en dehors des instructions du
responsable de traitement et ne tenait pas de registre conforme à l’article 30 RGPD. Les
manquements aux articles 28-3 et 29 ont été expressément retenus.

Cette décision marque la fin d’une forme d’irresponsabilité indirecte. Le sous-traitant ne peut
plus se retrancher derrière le responsable de traitement. Le principe d’accountability, consacré
à l’article 5-2, s’applique à chaque acteur. La chaîne contractuelle n’atténue pas la
responsabilité ; elle la structure.

La conservation des données : un manquement autonome

Plusieurs décisions récentes montrent également que la conservation excessive des données
constitue désormais un fondement autonome de sanction. L’article 5-1 impose une limitation
de la durée de conservation à ce qui est strictement nécessaire au regard des finalités
poursuivies. Dans l’affaire Free, la CNIL en décembre 2025 a expressément relevé l’absence
de tri et la conservation de millions de données au-delà des durées justifiées. Ce point est
essentiel. La volumétrie des données conservées peut devenir un facteur aggravant dans
l’évaluation du montant de l’amende. La gouvernance des durées de conservation n’est plus
une simple formalité documentaire ; elle devient un indicateur de maîtrise du risque.

Un tournant stratégique à l’approche du règlement IA

À l’approche de l’entrée en application complète du règlement européen sur l’intelligence
artificielle le 2 août 2026, cette intensification du contrôle n’est probablement pas isolée. Les
exigences que l’on observe aujourd’hui en matière de sécurité, de documentation, de traçabilité
et de gestion des sous-traitants préfigurent celles qui structureront la régulation des systèmes
d’IA.

La CNIL semble ainsi inscrire son action dans une logique plus large de gouvernance des
systèmes numériques. La conformité ne se limite plus au respect formel du texte. Elle implique
une organisation interne capable d’identifier les risques, de les documenter, de les tester et de
démontrer la robustesse des dispositifs mis en place.

Ce que ces décisions impliquent pour les organisations

L’évolution observée est à la fois quantitative et qualitative. Les montants augmentent, mais
surtout, l’analyse devient plus structurée et plus exigeante. La CNIL ne sanctionne plus
seulement l’incident ponctuel ; elle évalue la cohérence d’ensemble du dispositif de conformité.

La question pour les organisations n’est plus de savoir si elles seront contrôlées. Elle est de
savoir si elles sont en mesure de prouver, de manière documentée et opérationnelle, que leur
gouvernance des données est conforme aux exigences du RGPD.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.

Archives article
Catégories

Copyright © 2026 Data Privacy Professionals. Tous droits réservés. _______________________________________________ Suivez-nous sur LinkedIn, Facebook, YouTube

Besoin d'aide ?