Outils RGPD
SANCTIONS CNIL · BASE VÉRIFIÉE

Sanctions CNIL 2024-2026

Base de données des sanctions prononcées par la CNIL, compilée à partir des publications officielles (CNIL, Légifrance). 28 sanctions avec montants, articles violés et numéros de délibération.

Sanctions totales

28

Plus grosse sanction

Google 325 M€

Sanctions CNIL 2024

87

Violations notifiées 2024

5 629

Évaluez votre risque CNIL en 5 minutes

Notre simulateur estime votre exposition selon votre secteur et votre maturité RGPD.

Filtres :
28 résultats · 920.6 M€ cumulé
1

Google (LLC + Ireland)

325 M€
SAN-2025-004·1 septembre 2025

Publicités insérées entre les courriels Gmail sans consentement et cookies déposés à la création de compte sans consentement valide (200 M€ Google LLC + 125 M€ Google Ireland). Plus lourde sanction CNIL en matière de cookies.

Articles violés :Art. 82 LIL
Motifs :cookiespublicitéemailconsentement
Source CNIL
2

Google LLC + Google Ireland Ltd

150 M€
SAN-2021-023·31 décembre 2021

Refus des cookies non aussi simple que l'acceptation sur google.fr et youtube.com ; bouton refuser absent sur le premier niveau.

Articles violés :Art. 82 Loi Informatique et Libertés (cookies)
Motifs :cookiesconsentementrefus simple
Source CNIL
3

Shein — Infinite Styles Services Co. Ltd

150 M€
SAN-2025-005·1 septembre 2025

Cookies déposés sur shein.com sans consentement valide, refus de consentement non effectif, bandeaux d'information incomplets.

Articles violés :Art. 82 LIL
Motifs :cookiesconsentemente-commercerefus simple
Source CNIL

Facebook Ireland Ltd (Meta)

60 M€
SAN-2021-024·31 décembre 2021

Refus des cookies non aussi simple que l'acceptation sur facebook.com.

Articles violés :Art. 82 Loi Informatique et Libertés (cookies)
Motifs :cookiesconsentementrefus simple

Microsoft Ireland Operations Ltd

60 M€
SAN-2022-023·19 décembre 2022

Bing : dépôt de cookies sans consentement, bouton de refus absent sur le premier niveau.

Articles violés :Art. 82 Loi Informatique et Libertés (cookies)
Motifs :cookiesconsentementBing

Orange

50 M€
SAN-2024-019·14 novembre 2024

Affichage de publicités dans la messagerie d'Orange assimilables à de la prospection, cookies sans consentement.

Articles violés :Art. 82 LILArt. L. 34-5 CPCE
Motifs :cookiesprospectionemailconsentement
Source CNIL

Criteo SA

40 M€
SAN-2023-009·15 juin 2023

Défaut de consentement valide pour le traitement de données à des fins publicitaires ; défaut d'information ; défaut de traitement des demandes de droits ; absence d'accord de responsabilité conjointe.

Articles violés :Art. 7 RGPDArt. 12 RGPDArt. 13 RGPDArt. 15 RGPDArt. 17 RGPD+1
Motifs :consentementpublicitécookiesresponsabilité conjointedroitsinformation
Source CNIL

Amazon France Logistique

32 M€
SAN-2023-024·27 décembre 2023

Système de surveillance excessive des salariés via scanners (mesure inactivité à la seconde, alertes automatisées), information insuffisante.

Articles violés :Art. 5 RGPDArt. 6 RGPDArt. 12 RGPDArt. 13 RGPD
Motifs :surveillance salariésscannerRHvidéosurveillanceinformation
Source CNIL

Clearview AI Inc.

20 M€
SAN-2022-019·17 octobre 2022

Collecte massive d'images faciales depuis internet sans base légale ; absence de DPIA ; refus de droits ; traitement biométrique illicite.

Articles violés :Art. 6 RGPDArt. 9 RGPDArt. 12 RGPDArt. 15 RGPDArt. 17 RGPD+1
Motifs :biométrieDPIAreconnaissance facialedroitsbase légale
Source CNIL

Yahoo EMEA Ltd

10 M€
SAN-2023-022·27 décembre 2023

Cookies publicitaires déposés sans consentement sur yahoo.fr, refus non aussi simple que l'accord.

Articles violés :Art. 82 LIL
Motifs :cookiesconsentementrefus simple

IQVIA Operations France

5 M€
Formation restreinte CNIL — 26 mai 2026·26 mai 2026

Entrepôts de données de santé : non-respect des conditions des autorisations, sécurité insuffisante (absence d'analyse régulière des journaux, pas d'authentification multifacteur sur l'entrepôt EMR), information inexacte des patients et droit d'opposition non effectif.

Articles violés :Art. 32 RGPDArt. 9 RGPDArt. 13-14 RGPDArt. 21 RGPD
Motifs :sécuritédonnées de santéentrepôt de donnéesauthentificationjournalisationinformation
Source CNIL

France Travail (ex-Pôle emploi)

5 M€
Formation restreinte CNIL — 22 janvier 2026·22 janvier 2026

Défaut de sécurité : intrusion par ingénierie sociale ayant permis l'usurpation de comptes de conseillers CAP EMPLOI et l'accès aux données de demandeurs d'emploi (violation au 1er trimestre 2024).

Articles violés :Art. 32 RGPD
Motifs :sécuritéviolationfuiteingénierie socialesous-traitanceauthentification
Source CNIL

Voodoo

3 M€
SAN-2023-021·29 décembre 2023

Utilisation d'un identifiant technique (IDFV) à des fins publicitaires sans consentement, via des jeux mobiles.

Articles violés :Art. 82 Loi Informatique et Libertés
Motifs :consentementpublicitémobileIDFV

Carrefour France SAS

2,25 M€
SAN-2020-008·18 novembre 2020

Information non accessible, cookies déposés avant consentement, durées de conservation excessives, défaut de réponse aux droits, failles de sécurité, notification tardive.

Articles violés :Art. 5 RGPDArt. 12 RGPDArt. 13 RGPDArt. 15 RGPDArt. 17 RGPD+3
Motifs :informationcookiesconservationdroitssécuritéviolation

AG2R La Mondiale

1,75 M€
SAN-2023-010·29 juin 2023

Durées de conservation excessives, information insuffisante, défaut de prise en compte des oppositions à la prospection.

Articles violés :Art. 5 RGPDArt. 13 RGPDArt. 14 RGPDArt. 21 RGPD
Motifs :conservationinformationprospectionopposition

Dedalus Biologie

1,5 M€
SAN-2022-009·15 avril 2022

Fuite massive de données de santé (~500 000 personnes) en raison d'une sécurité insuffisante et d'un défaut d'encadrement contractuel des sous-traitants.

Articles violés :Art. 28 RGPDArt. 29 RGPDArt. 32 RGPD
Motifs :sécuritésous-traitancesantéviolationHDS
Source CNIL

Discord Inc.

800 000 €
SAN-2022-020·10 novembre 2022

Politique de conservation non définie ; défaut d'information ; politique de mots de passe insuffisante ; absence de DPIA.

Articles violés :Art. 5 RGPDArt. 13 RGPDArt. 25 RGPDArt. 32 RGPDArt. 35 RGPD
Motifs :mot de passesécuritéDPIAconservationinformation

Carrefour Banque

800 000 €
SAN-2020-009·18 novembre 2020

Cookies sans consentement, information défaillante, sécurité des données.

Articles violés :Art. 5 RGPDArt. 13 RGPDArt. 32 RGPD
Motifs :cookiesinformationsécuritéfinance

Cegedim Santé

800 000 €
SAN-2024-013·5 septembre 2024

Traitement de données de santé non anonymes sans autorisation de la CNIL (production d'études et de statistiques).

Articles violés :Art. 5 RGPDArt. 6 RGPDArt. 9 RGPD
Motifs :santérechercheautorisation CNIL
Source CNIL

Groupe Canal+

600 000 €
SAN-2023-011·29 juin 2023

Prospection commerciale sans consentement valide, défaut de prise en compte des oppositions.

Articles violés :Art. 21 RGPDArt. L. 34-5 CPCE
Motifs :prospectionoppositionconsentement

SERGIC

400 000 €
SAN-2019-005·28 mai 2019

Pièces d'identité et justificatifs accessibles en ligne sans authentification ; durées de conservation non définies.

Articles violés :Art. 5 RGPDArt. 32 RGPD
Motifs :sécuritéconservationaccessibilité web

Foncia Habitat

400 000 €
SAN-2024-014·5 septembre 2024

Mots de passe en clair, défaut d'information des locataires, notification tardive de violation.

Articles violés :Art. 13 RGPDArt. 32 RGPDArt. 33 RGPD
Motifs :mot de passeinformationviolationnotification 72hsécurité

Doctissimo (Unify)

380 000 €
SAN-2023-004·11 mai 2023

Profilage publicitaire sans consentement valide, données de santé collectées via des tests santé, absence de DPIA, sécurité insuffisante.

Articles violés :Art. 7 RGPDArt. 9 RGPDArt. 13 RGPDArt. 32 RGPDArt. 35 RGPD
Motifs :santéprofilageconsentementDPIAcookies
Source CNIL

Free SAS

300 000 €
SAN-2022-026·30 décembre 2022

Défaut de réponse aux demandes d'accès, mots de passe envoyés en clair, notification tardive de violation de données.

Articles violés :Art. 15 RGPDArt. 32 RGPDArt. 33 RGPD
Motifs :droit accèsmot de passeviolationnotification 72h

Infogreffe

250 000 €
SAN-2022-015·10 octobre 2022

Conservation des mots de passe en clair et durées de conservation non respectées.

Articles violés :Art. 5 RGPDArt. 32 RGPD
Motifs :mot de passeconservationsécurité

KASPR

240 000 €
Formation restreinte CNIL — 5 décembre 2024·5 décembre 2024

Aspiration (scraping) de données de contact professionnelles sans base légale valable et défaut d'information des personnes lors d'une collecte indirecte (art. 14).

Articles violés :Art. 6 RGPDArt. 14 RGPD
Motifs :aspirationscrapingbase légaleintérêt légitimeinformationprospection
Source CNIL

Cityscoot

125 000 €
SAN-2023-003·16 mars 2023

Géolocalisation quasi-permanente des scooters en location sans nécessité, absence d'AIPD.

Articles violés :Art. 5 RGPDArt. 6 RGPDArt. 35 RGPD
Motifs :géolocalisationDPIAminimisation
Source CNIL

France Travail (ex Pôle Emploi)

Rappel à l'ordre
SAN-2024-015·17 septembre 2024

Violation de données massive (43 millions de personnes) liée à un prestataire, sécurité insuffisante.

Articles violés :Art. 5 RGPDArt. 32 RGPD
Motifs :violationsous-traitancesecteur publicnotification

Mise à jour de la base

Cette base est compilée à partir des publications officielles CNIL (formation restreinte) et tenue à jour par les équipes d'AVCA Legal. Les principales sanctions renvoient directement à leur source officielle (CNIL / Légifrance). Source primaire : cnil.fr/sanctions.

Pour analyser votre exposition à ces risques en moins de 5 minutes, utilisez notre simulateur de sanction CNILqui s'appuie sur cette base de données ainsi que sur le barème de l'article 83 du RGPD.

Vous n'êtes pas dans cette liste — pour combien de temps ?

En 2024, la CNIL a prononcé 87 sanctions, un record historique. Le secteur d'activité ne protège plus : commerce, finance, santé, services, secteur public — tous concernés.

Audit AVCA Legal — RDV gratuit 30 min