• Blog
  • Mise en demeure CNIL : que se passe-t-il si vous ne répondez pas ?
Mise en demeure CNIL : que se passe-t-il si vous ne répondez pas ?

Mise en demeure CNIL : que se passe-t-il si vous ne répondez pas ?

Friday, February 27, 2026

Amende, publication de la sanction, mesures correctives… Les suites d'une mise en demeure peuvent être lourdes. Beaucoup de TPE, PME, artisans et associations pensent que la CNIL ne s'intéresse qu'aux grandes entreprises, hors ce n'est pas le cas. Voici ce que dit la loi, et comment réagir concrètement.

Note : cet article est fourni à titre informatif et de sensibilisation. Il ne constitue pas un conseil juridique. Par ailleurs, la réglementation en matière de protection des données personnelles est susceptible d'évoluer.
Pour toute situation spécifique, consultez un professionnel qualifié ou le site officiel de la CNIL : www.cnil.fr.

1. Une Mise en demeure CNIL, c'est quoi exactement ?

La mise en demeure est le premier acte formel de la CNIL (Commission Nationale de l'Informatique et des Libertés) lorsqu'elle constate une infraction au RGPD ou à la Loi Informatique et Libertés (LIL). Elle n'est pas encore une sanction : c'est un avertissement officiel, assorti d'un délai pour corriger la situation.

Concrètement, la CNIL vous notifie par courrier recommandé ou par voie électronique. Elle vous indique :

  • les manquements constatés (ex. : absence de bannière cookies conforme, politique de confidentialité incomplète) ;
  • les textes de référence enfreints (RGPD, art. 82 de la LIL, etc.) ;
  • le délai imparti pour vous mettre en conformité (souvent entre 1 et 3 mois) ;
  • les conséquences si vous ne corrigez pas.
📌 Base légale : La procédure de mise en demeure est prévue par l'article 22 de la loi n° 78-17 du 6 janvier 1978 (Loi Informatique et Libertés), modifiée par la loi n° 2018-493 du 20 juin 2018. Les textes réglementaires sont susceptibles d'évoluer : consultez toujours la version en vigueur sur le site de la CNIL (cnil.fr).

2. « La CNIL ne s'attaque qu'aux grandes entreprises » : une idée reçue dangereuse

C'est une erreur fréquente. Si les amendes records concernent effectivement les géants du numérique, la CNIL instruit aussi des dossiers impliquant des structures de toute taille. En 2023 et 2024, elle a mis en demeure des cabinets médicaux, des communes, des associations et des PME du secteur du BTP.

Quelques exemples réels et publics :

Professionnel libéral 2023 — Un professionnel de santé sanctionné pour refus de communiquer un dossier médical

Un professionnel de santé a refusé à plusieurs reprises de communiquer à ses patients les données de santé qu'il détenait sur eux, en réponse à des demandes d'exercice du droit d'accès. Cette obligation est pourtant explicitement prévue par l'article 64 de la loi Informatique et Libertés. La CNIL, saisie de plaintes, l'a sanctionné dans le cadre de sa procédure simplifiée.

Le montant de l'amende est resté confidentiel (la procédure simplifiée est non publique, avec un plafond de 20 000 €), mais la décision a bien été prononcée.

Ce cas parle à tous les professionnels qui gèrent des dossiers clients, patients ou usagers — y compris dans le BTP (devis, contrats, coordonnées bancaires) : ignorer une demande d'accès aux données personnelles d'un client est déjà un manquement sanctionnable, même en l'absence de toute violation de données.

📎 Source : CNIL — "La CNIL prononce six nouvelles sanctions dans le cadre de sa procédure simplifiée", fin 2023 — cnil.fr

Vidéosurveillance Novembre 2023 — Géolocalisation et vidéosurveillance permanente des salariés : dix sanctions simultanées

En novembre 2023, la CNIL a prononcé dix sanctions simultanées dans le cadre de sa procédure simplifiée, visant des entreprises de secteurs variés. Parmi les manquements retenus : des employeurs qui suivaient en continu la géolocalisation des véhicules de leurs salariés sans leur permettre d'interrompre le dispositif pendant les pauses, et d'autres qui filmaient en permanence leurs employés à leur poste de travail.

La CNIL a rappelé que la surveillance vidéo continue des salariés est, sauf circonstances exceptionnelles liées à la sécurité, disproportionnée et contraire au RGPD. Les amendes prononcées, comprises entre 5 000 € et 20 000 €, n'ont pas été rendues publiques — mais elles ont bien été encaissées.

Ce type de pratique est fréquent dans les petites entreprises du BTP, du transport ou du commerce : un tracker GPS activé 24h/24 sur les véhicules de chantier, ou une caméra orientée en permanence sur le poste de caisse ou d'accueil. Sans information préalable des salariés et sans proportionnalité, c'est un manquement caractérisé.

📎 Source : CNIL, communiqué du 7 novembre 2023 — "La CNIL prononce dix nouvelles sanctions dans le cadre de sa procédure simplifiée"cnil.fr

Cookies 2024 — Bannière cookies : "Accepter" en un clic, "Refuser" en trois — plusieurs sociétés sanctionnées

À l'occasion d'un contrôle en ligne, la CNIL a constaté que le site web d'une société permettait d'accepter tous les cookies en un seul clic via un bouton bien visible, mais obligeait l'utilisateur souhaitant les refuser à ouvrir les paramètres, puis à naviguer dans une interface secondaire pour les désactiver un par un. Ce déséquilibre délibéré est contraire à l'article 82 de la loi Informatique et Libertés, qui exige que refuser soit aussi simple qu'accepter. La CNIL a prononcé une amende.

Ce n'est pas un cas isolé : en 2024, onze organismes ont été sanctionnés pour ce seul motif. Des mises en demeure ont également été adressées à des dizaines d'autres sites.

Ce type de manquement est extrêmement courant sur les sites de TPE et PME, souvent configurés par des prestataires web qui n'ont pas vérifié la conformité de la bannière cookies. Vous avez un site vitrine avec un formulaire de contact et un pixel de suivi ? Vérifiez votre bannière.

📎 Sources : CNIL — "La CNIL prononce neuf nouvelles sanctions dans le cadre de la procédure simplifiée", 2024 — cnil.fr · Bilan CNIL 2024 — cnil.fr

Registre RGPD Octobre 2024 — Des PME de moins de 250 salariés sanctionnées pour absence de registre des traitements

En octobre 2024, parmi onze nouvelles sanctions simplifiées prononcées, deux concernaient spécifiquement des entreprises de moins de 250 salariés n'ayant pas tenu de registre des activités de traitement, alors qu'elles réalisaient des traitements réguliers de données personnelles.

Le registre des traitements est une obligation de base du RGPD pour tout organisme dont les traitements ne sont pas purement occasionnels — ce qui est le cas de la quasi-totalité des TPE et PME qui gèrent des fichiers clients, des fiches de chantier, des feuilles de paie ou des devis nominatifs.

Beaucoup d'artisans et de petites entreprises ignorent l'existence même de cette obligation. Ce document n'a pas besoin d'être complexe : la CNIL met à disposition un modèle de registre simplifié sur son site.

📎 Source : CNIL, communiqué du 8 octobre 2024 — "La CNIL a prononcé ces trois derniers mois onze nouvelles sanctions dans le cadre de la procédure simplifiée"cnil.fr

⚠️ EXEMPLE HYPOTHÉTIQUE - PME DU BTP
Imaginons une entreprise de maçonnerie de 12 salariés. Elle collecte les coordonnées de ses clients via un formulaire sur son site web, envoie des newsletters sans que les destinataires aient réellement consenti, et n'a jamais publié de politique de confidentialité. Un client insatisfait dépose une plainte auprès de la CNIL. Résultat : procédure d'instruction, puis mise en demeure de corriger sous 2 mois. Si rien n'est fait, l'affaire passe en formation restreinte — celle qui prononce les sanctions.

3. Que se passe-t-il si vous ne répondez pas ou si vous ne corrigez pas ?

C'est là que les choses deviennent sérieuses. L'absence de réponse ou le défaut de mise en conformité dans le délai imparti entraîne le renvoi du dossier devant la formation restreinte de la CNIL, qui est habilitée à prononcer des sanctions.

3.1 L'amende administrative

Pour les structures autres que les grandes entreprises, les plafonds théoriques du RGPD (20 millions d'euros ou 4 % du chiffre d'affaires mondial) peuvent sembler hors de portée. Mais la CNIL module les amendes en fonction de la taille et de la gravité des faits. Pour une TPE ou une PME, les sanctions prononcées oscillent généralement entre quelques milliers et quelques dizaines de milliers d'euros.

Les critères retenus pour fixer le montant sont notamment :

  • la nature, la gravité et la durée de l'infraction ;
  • le caractère intentionnel ou négligent du manquement ;
  • les mesures prises pour atténuer le préjudice ;
  • le degré de coopération avec la CNIL ;
  • la taille et la situation financière de l'organisme.

Autrement dit : une structure qui coopère, qui montre qu'elle a entamé des corrections, sera beaucoup mieux lotie que celle qui ignore les courriers.

3.2 La publication de la sanction (le « name and shame »)

Bien que la majorité des sanctions ne sont pas publiées, la CNIL peut décider de rendre la sanction publique, en particulier en l'absence de coopération ou lorsque les manquements ont un impact négatif fort. Concrètement, votre nom (ou celui de votre entreprise) et le détail de la faute sont publiés sur le site de la CNIL, et souvent relayés par la presse spécialisée.

Pour une PME locale, un artisan ou une association, c'est un risque réputationnel considérable. Les appels d'offres publics, les marchés avec des collectivités territoriales, ou simplement la confiance de votre clientèle peuvent en pâtir durablement.

Exemple : en décembre 2023, la CNIL a publié une décision concernant une commune de taille intermédiaire pour ne pas avoir désigné un Délégué à la Protection des Données, constituant un manquement lié à la sécurité des données des administrés. Cette décision a été rendue publique car elle faisait suite à une mise en demeure à laquelle la commune n'avait pas réagit dans les délais impartis (voir la délibération sur le site Légifrance).

3.3 L'injonction de cesser le traitement

Dans les cas les plus graves — notamment lorsque des données sensibles (santé, données biométriques) sont concernées ou que la violation est continue — la CNIL peut ordonner la suspension ou l'arrêt total d'un traitement de données. Pour une entreprise dont le CRM, le fichier clients ou le site e-commerce est au cœur de l'activité, cela peut se traduire par un arrêt opérationnel partiel.

3.4 L'astreinte

La CNIL peut également prononcer une astreinte, c'est-à-dire une somme due par jour de retard dans la mise en conformité. Ce mécanisme est particulièrement dissuasif car il s'accumule tant que le problème n'est pas résolu.

4. Les différents scénarios selon la gravité des faits

🟢 Scénario 1 : manquement mineur, délai respecté
Vous n'avez pas de bannière cookies conforme, mais vous avez agi dès la réception de la mise en demeure. Vous avez installé une solution de gestion du consentement, complété vos mentions légales, et transmis un rapport de conformité à la CNIL dans les délais. Dans ce cas, la procédure s'arrête là. Pas d'amende, pas de publication. C'est le meilleur scénario — et le plus fréquent pour les petites structures qui coopèrent.
🟡 Scénario 2 : manquement significatif, correction partielle
Vous avez répondu à la CNIL et réalisé une partie des corrections, mais certains points restent non conformes. La formation restreinte peut prononcer une amende modérée (quelques milliers d'euros pour une TPE/PME), sans nécessairement publier la décision si les efforts fournis sont documentés et sincères.
🔴 Scénario 3 : manquement grave, absence de réponse
Par exemple, vous ignorez la mise en demeure, ou les données de milliers de clients ont été exposées sans que vous ayez pris de mesures. La CNIL prononce une amende conséquente, assortie d'une publication de la décision. Votre entreprise est citée nommément sur le site de la CNIL. Les conséquences commerciales peuvent être durables.

5. Comment réagir concrètement à une mise en demeure ?

Étape 1 — Ne pas paniquer, ne pas ignorer

La mise en demeure n'est pas une condamnation. C'est une chance de régulariser votre situation. Ignorez-la, et elle le deviendra.

Étape 2 — Lire attentivement le document

Identifiez précisément les manquements listés, le délai accordé, et le texte réglementaire invoqué. Chaque point doit faire l'objet d'une action corrective documentée.

Étape 3 — Agir vite et documenter

Mettez en place les corrections nécessaires (mise à jour du site, de vos contrats fournisseurs, de vos formulaires de collecte…). Conservez toutes les preuves : captures d'écran, dates de mise en ligne, échanges avec vos prestataires. La CNIL sera sensible à votre diligence.

Étape 4 — Répondre formellement à la CNIL dans les délais

Envoyez votre réponse en recommandé avec accusé de réception, en détaillant les mesures mises en œuvre pour chaque point soulevé. Joignez les preuves.

Étape 5 — Se faire accompagner

Si la situation est complexe (violation de données, traitement de données sensibles, transferts hors Union européenne), faites-vous accompagner par un consultant spécialisé en conformité RGPD. Le coût de cet accompagnement sera toujours inférieur à celui d'une amende et d'un impact à votre réputation.

✓ À retenir
Une mise en demeure n'est pas une sanction : c'est une dernière chance de se mettre en conformité.
La CNIL s'intéresse à tous les types de structures, y compris les TPE, artisans et associations.
Ne pas répondre aggrave systématiquement la situation : amende, publication de la sanction, astreinte.
La coopération avec la CNIL et la rapidité de mise en conformité sont prises en compte favorablement.
Documentez tout, n'effacez pas les preuves : chaque action corrective doit pouvoir être prouvée.
Mieux vaut prévenir que guérir : un audit de conformité préventif coûte bien moins qu'une amende ou une atteinte à votre réputation.

Vous avez reçu une mise en demeure ou vous souhaitez anticiper ?

Contactez Indago Consulting pour un audit de conformité personnalisé.

Prendre contact
Search
This website may use cookies and external scripts. More information