20délibérations de la Commission nationale de l'informatique et des libertés.
20
Total délibérations
274
En vigueur
283
Avec résumé IA
La CNIL a prononcé une sanction pécuniaire à l'encontre de l'opérateur public FRANCE TRAVAIL. Les manquements constatés concernent des défaillances dans la sécurité et la gouvernance d'un traitement de données de santé relatif à l'accompagnement des demandeurs d'emploi en situation de handicap. Une amende de 800 000 euros a été infligée, assortie d'une injonction de mettre en conformité le traitement dans un délai de six mois.
SAN–2026-003
La CNIL a prononcé une sanction pécuniaire à l'encontre de la société FREE MOBILE, opérateur de téléphonie mobile. Cette sanction fait suite à une violation de données personnelles de ses abonnés, survenue entre septembre et octobre 2024, et à des manquements constatés en matière de sécurité. La délibération impose une amende dont le montant n'est pas précisé dans l'extrait fourni.
SAN-2026-001
La délibération concerne la société FREE, opérateur de téléphonie fixe. La CNIL a prononcé une sanction pécuniaire à son encontre suite à une violation de données personnelles survenue entre septembre et octobre 2024, affectant des abonnés. Les manquements relevés portent sur des insuffisances en matière de sécurité des données. La sanction pécuniaire spécifique n'est pas détaillée dans l'extrait fourni.
SAN-2026-002
La formation restreinte de la CNIL a prononcé une sanction pécuniaire à l'encontre de l'opérateur téléphonique FREE MOBILE. Cette sanction fait suite à une violation de données personnelles de ses abonnés, survenue entre fin septembre et octobre 2024, et à des manquements constatés en matière de sécurité. Le montant de l'amende n'est pas précisé dans l'extrait fourni.
SAN-026-001
La société X, une enseigne de distribution, fait l'objet d'une sanction de la CNIL pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. Les manquements constatés concernent notamment la collecte et le traitement de données personnelles dans le cadre de son programme de fidélité et de son site web. La formation restreinte de la CNIL a prononcé une sanction pécuniaire à l'encontre de la société.
SAN-2025-017
La CNIL a prononcé une sanction pécuniaire à l'encontre de la société NEXPUBLICA FRANCE, éditrice et hébergeuse du progiciel "Public CRM" utilisé par la MDPH du Nord. La sanction fait suite à une violation de données majeure survenue en novembre 2022, où des usagers du portail ont eu accès à des documents personnels concernant des tiers. La décision sanctionne des manquements aux obligations de sécurité et de confidentialité des données de santé et d'action sociale, particulièrement sensibles. Le montant de l'amende n'est pas précisé dans l'extrait fourni.
SAN-2025-015
La CNIL a prononcé une sanction pécuniaire à l'encontre de la société SAMARITAINE SAS. L'organisme a été sanctionné pour avoir installé un système de vidéosurveillance dissimulé dans des détecteurs de fumée afin de surveiller ses salariés dans les réserves du magasin. Cette pratique a été jugée constitutive de plusieurs manquements au RGPD, notamment concernant la licéité, la minimisation et la transparence des traitements.
SAN-2025-008
La CNIL a sanctionné la société INFINITE STYLES SERVICES CO. LIMITED, responsable du site web "shein.com" pour le marché européen, pour des manquements au RGPD et à la loi Informatique et Libertés. Les manquements constatés concernent principalement le traitement des données des mineurs, l'information des personnes et le respect du droit d'opposition. La formation restreinte de la CNIL a prononcé une amende administrative de 10 millions d'euros à l'encontre de la société.
SAN-2025-005
La CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED pour des manquements liés au service Gmail et aux pratiques de ciblage publicitaire. Les manquements constatés concernent principalement le défaut de base légale pour le traitement des contenus des emails des utilisateurs à des fins publicitaires, ainsi que des insuffisances dans l'information fournie et le défaut de garantie du droit d'opposition. La formation restreinte a prononcé une amende de 200 millions d'euros à l'encontre des deux sociétés et leur a enjoint de mettre leur traitement en conformité avec le RGPD.
SAN-2025-004
La CNIL a sanctionné la société X, filiale du groupe Y spécialisée dans la vente de matériel de télécommunication, pour plusieurs manquements au RGPD et à la loi Informatique et Libertés liés à ses campagnes de prospection téléphonique et par SMS. Les manquements relevés concernent principalement l'absence de base légale pour le traitement des données de prospection, le défaut d'information des personnes et l'absence de coopération avec la CNIL. La formation restreinte a prononcé une amende administrative de 250 000 euros et assorti cette sanction d'une injonction de mettre en conformité ses traitements dans un délai de trois mois.
SAN-2024-004
La CNIL a sanctionné la société X, une filiale commercialisant des programmes de fidélité, pour des manquements au RGPD. Les manquements concernaient l'absence de base légale pour des opérations de prospection téléphonique (article 6) et le défaut de sécurité des données (article 32). La formation restreinte a prononcé une amende administrative et a ordonné la publication de la décision.
SAN-2024-003
La société x, éditrice d'un site web immobilier, a fait l'objet d'une sanction par la formation restreinte de la CNIL. Les manquements constatés concernent le non-respect des principes de limitation de la conservation des données, d'information des personnes, de sécurité des traitements, ainsi que des obligations liées aux sous-traitants et aux communications électroniques. En conséquence, la société s'est vu infliger une amende de 250 000 euros et une injonction de se mettre en conformité sous astreinte.
SAN-2024-002
La société X, un distributeur de monnaie électronique, a fait l'objet d'une sanction par la CNIL. Les manquements constatés concernent principalement le dépôt de cookies sans consentement valide sur son site web et des insuffisances dans l'information des utilisateurs et la sécurité des données. La formation restreinte a prononcé une sanction pécuniaire à l'encontre de l'organisme.
SAN-2023-023
La société X (anciennement x France) fait l'objet d'une sanction de la CNIL pour manquements liés aux cookies sur son moteur de recherche et son service de messagerie. Les manquements constatés concernent le dépôt de cookies sans consentement préalable et l'absence de moyen simple pour les refuser, en violation de l'article 82 de la loi Informatique et Libertés. La formation restreinte a prononcé une amende administrative à l'encontre de la société.
SAN-2023-024
La société X, éditrice de sites de jeux-concours et de newsletters commerciales, a fait l'objet d'une sanction de la CNIL. La formation restreinte a constaté des manquements aux articles 5, 6, 30 et 32 du RGPD, notamment concernant la licéité du traitement, la sécurité et la tenue du registre. Une amende administrative a été prononcée à son encontre et la décision a été rendue publique.
SAN-2023-025
La société X, prestataire logistique, a fait l'objet d'une sanction de la CNIL pour plusieurs manquements au RGPD concernant le traitement des données de ses salariés. Les manquements retenus portaient notamment sur des violations des principes de licéité, de minimisation des données et de sécurité, ainsi que sur des insuffisances en matière d'information des personnes. Suite à une décision du Conseil d'État, l'amende administrative initiale a été réduite à un montant final de 15 000 000 d'euros.
SAN-2023-021
La commune X fait l'objet d'une délibération de la formation restreinte de la CNIL pour manquement à l'obligation de désigner un délégué à la protection des données (DPD), en application de l'article 37-1-a) du RGPD. Malgré une mise en demeure et une précédente sanction, la commune n'a pas procédé à cette désignation obligatoire pour une autorité publique. La formation restreinte prononce un rappel à l'ordre, une injonction de désigner un DPD dans un délai de deux mois, assortie d'une astreinte de 150 euros par jour de retard, et rend sa décision publique.
SAN-2023-018
La délibération SAN-2023-017 concerne le ministère de l'Europe et des Affaires étrangères (X) et le ministère de l'Intérieur (Y) en tant que responsables conjoints du traitement RMV2 (Réseau Mondial Visas 2). La CNIL a constaté des manquements dans la gestion de ce système d'accès aux données du VIS, notamment une absence de documentation suffisante sur les mesures de sécurité et des durées de conservation des données non conformes. En conséquence, la formation restreinte a prononcé une injonction de mise en conformité sous astreinte.
SAN-2023-017
La CNIL a sanctionné la société X pour plusieurs manquements au RGPD et au code des postes et des communications électroniques, suite à des plaintes concernant notamment de la prospection téléphonique. Les manquements constatés portent sur l'information des personnes, l'exercice de leurs droits, la sécurité des données et la gestion des sous-traitants. La formation restreinte a prononcé une amende de 800 000 euros à l'encontre de la société.
SAN-2023-015
La délibération concerne la société x (anciennement liée à un groupe chinois, désormais détenue par une société basée à Hong-Kong), active dans le fret aérien. La CNIL a constaté des manquements au RGPD et à la loi Informatique et Libertés, notamment la collecte excessive et illicite de données personnelles sensibles (comme l'ethnie ou l'affiliation politique) auprès des salariés via un formulaire. La formation restreinte a prononcé une sanction pécuniaire à l'encontre de la société.
SAN-2023-013