Sanctions CNIL 2024-2026
Base de données des sanctions prononcées par la CNIL, compilée à partir des publications officielles (CNIL, Légifrance). 28 sanctions avec montants, articles violés et numéros de délibération.
Sanctions totales
28
Plus grosse sanction
Google 325 M€
Sanctions CNIL 2024
87
Violations notifiées 2024
5 629
Évaluez votre risque CNIL en 5 minutes
Notre simulateur estime votre exposition selon votre secteur et votre maturité RGPD.
Google (LLC + Ireland)
Publicités insérées entre les courriels Gmail sans consentement et cookies déposés à la création de compte sans consentement valide (200 M€ Google LLC + 125 M€ Google Ireland). Plus lourde sanction CNIL en matière de cookies.
Google LLC + Google Ireland Ltd
Refus des cookies non aussi simple que l'acceptation sur google.fr et youtube.com ; bouton refuser absent sur le premier niveau.
Shein — Infinite Styles Services Co. Ltd
Cookies déposés sur shein.com sans consentement valide, refus de consentement non effectif, bandeaux d'information incomplets.
Facebook Ireland Ltd (Meta)
Refus des cookies non aussi simple que l'acceptation sur facebook.com.
Microsoft Ireland Operations Ltd
Bing : dépôt de cookies sans consentement, bouton de refus absent sur le premier niveau.
Orange
Affichage de publicités dans la messagerie d'Orange assimilables à de la prospection, cookies sans consentement.
Criteo SA
Défaut de consentement valide pour le traitement de données à des fins publicitaires ; défaut d'information ; défaut de traitement des demandes de droits ; absence d'accord de responsabilité conjointe.
Amazon France Logistique
Système de surveillance excessive des salariés via scanners (mesure inactivité à la seconde, alertes automatisées), information insuffisante.
Clearview AI Inc.
Collecte massive d'images faciales depuis internet sans base légale ; absence de DPIA ; refus de droits ; traitement biométrique illicite.
Yahoo EMEA Ltd
Cookies publicitaires déposés sans consentement sur yahoo.fr, refus non aussi simple que l'accord.
IQVIA Operations France
Entrepôts de données de santé : non-respect des conditions des autorisations, sécurité insuffisante (absence d'analyse régulière des journaux, pas d'authentification multifacteur sur l'entrepôt EMR), information inexacte des patients et droit d'opposition non effectif.
France Travail (ex-Pôle emploi)
Défaut de sécurité : intrusion par ingénierie sociale ayant permis l'usurpation de comptes de conseillers CAP EMPLOI et l'accès aux données de demandeurs d'emploi (violation au 1er trimestre 2024).
Voodoo
Utilisation d'un identifiant technique (IDFV) à des fins publicitaires sans consentement, via des jeux mobiles.
Carrefour France SAS
Information non accessible, cookies déposés avant consentement, durées de conservation excessives, défaut de réponse aux droits, failles de sécurité, notification tardive.
AG2R La Mondiale
Durées de conservation excessives, information insuffisante, défaut de prise en compte des oppositions à la prospection.
Dedalus Biologie
Fuite massive de données de santé (~500 000 personnes) en raison d'une sécurité insuffisante et d'un défaut d'encadrement contractuel des sous-traitants.
Discord Inc.
Politique de conservation non définie ; défaut d'information ; politique de mots de passe insuffisante ; absence de DPIA.
Carrefour Banque
Cookies sans consentement, information défaillante, sécurité des données.
Cegedim Santé
Traitement de données de santé non anonymes sans autorisation de la CNIL (production d'études et de statistiques).
Groupe Canal+
Prospection commerciale sans consentement valide, défaut de prise en compte des oppositions.
SERGIC
Pièces d'identité et justificatifs accessibles en ligne sans authentification ; durées de conservation non définies.
Foncia Habitat
Mots de passe en clair, défaut d'information des locataires, notification tardive de violation.
Doctissimo (Unify)
Profilage publicitaire sans consentement valide, données de santé collectées via des tests santé, absence de DPIA, sécurité insuffisante.
Free SAS
Défaut de réponse aux demandes d'accès, mots de passe envoyés en clair, notification tardive de violation de données.
Infogreffe
Conservation des mots de passe en clair et durées de conservation non respectées.
KASPR
Aspiration (scraping) de données de contact professionnelles sans base légale valable et défaut d'information des personnes lors d'une collecte indirecte (art. 14).
Cityscoot
Géolocalisation quasi-permanente des scooters en location sans nécessité, absence d'AIPD.
France Travail (ex Pôle Emploi)
Violation de données massive (43 millions de personnes) liée à un prestataire, sécurité insuffisante.
Mise à jour de la base
Cette base est compilée à partir des publications officielles CNIL (formation restreinte) et tenue à jour par les équipes d'AVCA Legal. Les principales sanctions renvoient directement à leur source officielle (CNIL / Légifrance). Source primaire : cnil.fr/sanctions.
Pour analyser votre exposition à ces risques en moins de 5 minutes, utilisez notre simulateur de sanction CNILqui s'appuie sur cette base de données ainsi que sur le barème de l'article 83 du RGPD.
Vous n'êtes pas dans cette liste — pour combien de temps ?
En 2024, la CNIL a prononcé 87 sanctions, un record historique. Le secteur d'activité ne protège plus : commerce, finance, santé, services, secteur public — tous concernés.
Audit AVCA Legal — RDV gratuit 30 min