Guide pratique — Risques juridiques

Sanctions CNIL en cas d'absence ou de registre des traitements non conforme (2025)

Publié le 18 mai 2026·7 min de lecture·Tous les guides

« De toute façon, la CNIL ne sanctionne pas les petites structures. » Faux. En 2024-2025, la CNIL a prononcé des dizaines de mises en demeure et sanctions financières contre des TPE/PME, parfois sur la seule base de l'absence ou de la non-conformité du registre.

Le cadre légal : article 83.4 du RGPD

L'article 83.4 du RGPD prévoit que l'absence ou la mauvaise tenue d'un registre des traitements est sanctionnable jusqu'à :

  • 10 000 000 €, ou
  • 2 % du chiffre d'affaires mondial annuel (le plus élevé des deux)

En pratique, pour une TPE/PME, la sanction se situe entre 2 000 € et 50 000 €, souvent assortie d'une mise en demeure publique sur le site cnil.fr.

Trois types de sanctions cumulables

1. Sanction financière (CNIL)

La formation restreinte de la CNIL prononce une amende administrative. Le montant tient compte de :

  • La taille de l'organisation
  • Le caractère intentionnel ou non du manquement
  • La coopération avec la CNIL
  • Les mesures correctives prises
  • Les antécédents

2. Mise en demeure publique

La CNIL peut publier le nom de l'organisation sanctionnée sur cnil.fr, page indexée par Google. Conséquence réputationnelle massive : un client qui tape votre nom sur Google tombe sur la décision CNIL pendant des années.

3. Action civile des personnes concernées

L'article 82 RGPD ouvre un droit à réparation pour toute personne ayant subi un dommage matériel ou moral. Une seule personne peut demander réparation, mais des actions de groupe se développent (UFC-Que Choisir, La Quadrature du Net).

Cas réels de sanctions 2023-2025

SPARTOO (250 000 €)

E-commerce de chaussures. Sanctionné notamment pour absence de documentation des traitements et durées de conservation excessives. Délibération CNIL n°SAN-2020-003.

FREE (300 000 € — 2022, puis 2,25 M€ en 2024)

Opérateur télécom. Sanctionné pour défauts de sécurité et tenue de registre lacunaire, notamment durées de conservation non documentées.

VOODOO (3 M€ — 2024)

Éditeur de jeux mobiles. Sanctionné pour collecte de données via cookies sans consentement et registre des traitements insuffisamment précis sur les transferts hors UE.

YVES ROCHER (4 M€ — 2024)

Sanctionné pour conservation excessive des données prospects (plus de 3 ans sans contact) et défauts dans le registre des traitements.

TIKTOK (5 M€ — 2023)

Sanctionné pour cookies non conformes et registre de traitements déclarant des bases légales contestables.

Une dizaine de TPE/PME (1 500 € à 20 000 €)

Moins médiatisées mais bien réelles : kinésithérapeutes, psychologues, e-commerces, agences immobilières… La CNIL contrôle environ 350 organismes par an. La plupart des contrôles commencent par une demande de communication du registre.

Qu'est-ce qui déclenche un contrôle ?

  • Plainte d'un client / salarié (cas n°1 — ex : refus de répondre à une demande d'effacement)
  • Plainte d'un concurrent (oui, ça arrive)
  • Contrôle thématique annuel (la CNIL publie son programme annuel : ex 2025 = applis mobiles, IA, cloud)
  • Violation de données notifiée (à partir du moment où vous notifiez une violation, la CNIL peut demander votre registre)
  • Signalement média / réseaux sociaux

Le déroulement d'un contrôle CNIL

  1. Notification : courrier ou contrôle sur place (parfois inopiné)
  2. Demande de communication : le registre des traitements est quasi systématiquement demandé en premier
  3. Délai de réponse : généralement 1 mois
  4. Audition éventuelle + demandes complémentaires
  5. Rapport d'instruction → mise en demeure ou saisine de la formation restreinte

Si vous ne pouvez pas produire de registre, ou produisez un registre manifestement bâclé ou daté, la procédure bascule immédiatement vers le contentieux.

Comment se mettre en règle rapidement

La bonne nouvelle : produire un registre conforme prend 2 à 4 heures avec un bon modèle.

  1. Lisez le guide complet sur le registre des traitements
  2. Suivez la méthode en 6 étapes
  3. Vérifiez que vous n'avez pas commis les 5 erreurs courantes
  4. Ou automatisez tout avec notre audit RGPD à 490 €

Aller au-delà : la conformité globale

Le registre n'est qu'une des 9 obligations RGPD. Pour une conformité complète (politique de confidentialité, mentions légales, CMP cookies, contrats Art. 28, procédure violation 72 h), notre audit RGPD à 490 € scanne votre site et livre les documents clés prêts à publier.

Allez au-delà du registre

Notre audit RGPD du site web scanne votre site (cookies, trackers, formulaires, pages légales), génère un rapport personnalisé (à partir de 20 à 30 pages, selon la complexité de votre activité), et inclut 4 modèles RGPD prêts à publier + le Kit Conformité Interne complet (registre + contrat Art. 28 + procédure violation 72 h + 13 templates emails droits RGPD).
490 € TTC, livré sous 24 h ouvrées, sans abonnement.

Découvrir l'audit completVoir un exemple de rapport