Lois françaises sur la protection des données : guide de conformité RGPD et CNIL (2026)

La France encadre les données personnelles au moyen de deux dispositifs qui se chevauchent : le Règlement général sur la protection des données (RGPD) de l'Union européenne, directement applicable depuis mai 2018, et la loi Informatique et Libertés (loi n° 78-17), la loi fondatrice française de 1978 qui a créé la CNIL, première autorité indépendante de protection des données en Europe.
Le cadre français de protection des données en un coup d'œil
La France occupe une place singulière dans le paysage mondial de la protection des données. Elle a adopté la loi Informatique et Libertés (loi n° 78-17) le 6 janvier 1978, ce qui en fait l'une des premières nations au monde à s'être dotée d'une législation complète sur la protection des données. Cette loi a créé la Commission nationale de l'informatique et des libertés, la CNIL, première autorité indépendante de protection des données en Europe.
Aujourd'hui, le cadre français de protection des données repose sur deux piliers. Le Règlement général sur la protection des données (RGPD) de l'Union européenne s'applique directement dans tous les États membres depuis le 25 mai 2018, en établissant les droits et obligations fondamentaux. La loi Informatique et Libertés, substantiellement modifiée en 2018 et complétée par le décret n° 2019-536, régit les domaines où le droit de l'Union laisse une marge de manœuvre aux États membres. Il en résulte un système à deux niveaux : le RGPD fixe le socle, et le droit national français ajoute des exigences sectorielles que les organisations doivent également respecter.
Consultez un avocat pour un avis adapté à votre situation. Les informations présentées ici constituent des informations juridiques générales et non un avis juridique.
Le fondement constitutionnel de la protection des données
Le droit au respect de la vie privée en France a valeur constitutionnelle, ancré dans la Déclaration des droits de l'homme et du citoyen du 26 août 1789, qui fait partie du bloc de constitutionnalité français. Le Conseil constitutionnel a jugé en 1999 que la liberté garantie par l'article 2 de la Déclaration de 1789 englobe le droit au respect de la vie privée.
Dans sa décision n° 2012-652 DC, le Conseil constitutionnel a précisé que « la collecte, l'enregistrement, la conservation, la consultation et la communication de données à caractère personnel doivent être justifiés par un motif d'intérêt général et mis en œuvre de manière adéquate et proportionnée à cet objectif ». Cette norme de proportionnalité se situe au sommet de l'ordre juridique français et encadre tant l'action législative qu'exécutive en matière de traitement des données.
Le Conseil constitutionnel a examiné la loi de réforme de la protection des données de 2018 (loi n° 2018-493) dans sa décision n° 2018-765 DC et en a confirmé la constitutionnalité, validant l'approche française consistant à recourir à la législation nationale pour exercer les dérogations prévues par le RGPD. Ce fondement constitutionnel confère aux droits relatifs à la protection des données en France une pérennité qui dépasse la simple loi.
La loi Informatique et Libertés : la loi fondatrice de la France
La loi Informatique et Libertés est une réponse directe à l'affaire SAFARI. En 1974, le quotidien français Le Monde a révélé le projet SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus), une initiative gouvernementale visant à relier les fichiers fiscaux, sociaux et policiers au moyen d'un identifiant national unique.
La réaction du public fut immédiate. Le gouvernement a abandonné le projet SAFARI et a confié une mission à la Commission Tricot, dont le rapport de 1975 a directement conduit à la rédaction de la loi 78-17. L'article premier énonçait que l'informatique doit être au service de chaque citoyen et ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Ce principe demeure inscrit dans la loi aujourd'hui.
Les dispositions clés de la loi originale de 1978
La loi Informatique et Libertés a introduit des concepts novateurs pour l'époque. Elle a instauré le droit de savoir si des données personnelles font l'objet d'un traitement et d'y accéder. Elle a exigé que la collecte de données serve une finalité définie et légitime. Elle a créé la CNIL en tant qu'autorité administrative indépendante dotée de pouvoirs d'enquête et de sanction.
Modifications et modernisation
La loi a fait l'objet de plusieurs révisions majeures. Une modification de 2004 a transposé la directive européenne sur la protection des données (95/46/CE), faisant passer le régime d'un modèle d'autorisation préalable à un modèle de notification. La refonte la plus importante est intervenue en 2018, lorsque la loi n° 2018-493 a adapté la législation pour la rendre complémentaire au RGPD. L'ordonnance n° 2018-1125 du 12 décembre 2018 a restructuré et réécrit la loi par souci de clarté. Le décret n° 2019-536 du 29 mai 2019 a achevé la mise en œuvre en harmonisant les règles procédurales et en clarifiant les droits des personnes concernées.
La loi Informatique et Libertés actuelle ne fait pas double emploi avec le RGPD, mais comble les domaines où le RGPD autorise ou exige expressément une législation des États membres. Il s'agit notamment des règles relatives au traitement des données de santé, de l'âge numérique de consentement pour les mineurs, du traitement des données pénales et des directives relatives aux données post-mortem.
La CNIL : structure, pouvoirs et application
La CNIL est une autorité administrative indépendante composée de 18 membres issus de l'Assemblée nationale, du Sénat, de la magistrature et de personnalités qualifiées nommées en raison de leur expertise. La commission agit en toute indépendance vis-à-vis du gouvernement français et publie ses décisions publiquement.

Pouvoirs d'enquête
La CNIL mène des contrôles sur place, des audits en ligne et des demandes de documents. Elle peut pénétrer dans les locaux d'une entreprise pendant les heures d'ouverture, accéder aux systèmes informatiques et copier les données pertinentes pour ses enquêtes. Les organisations doivent coopérer avec les enquêtes de la CNIL, sous peine de sanctions distinctes pour entrave.
Procédures de sanction ordinaire et simplifiée
La CNIL dispose de deux voies d'application. Selon la procédure ordinaire, la formation restreinte (un sous-organe de la commission plénière de la CNIL) instruit les affaires selon une procédure contradictoire formelle, incluant des audiences publiques, et peut imposer l'ensemble des sanctions prévues par le RGPD.
La procédure de sanction simplifiée, introduite en 2022, traite les affaires ne présentant pas de difficulté particulière. Le président de la CNIL désigne un membre unique de la formation restreinte pour statuer seul, sans audience publique (sauf demande contraire de l'organisme concerné). Les amendes prononcées selon la procédure simplifiée sont plafonnées à 20 000 euros, et les injonctions comportent une astreinte maximale de 100 euros par jour de retard. Les sanctions prononcées selon la procédure simplifiée ne sont pas publiées. Cette voie permet à la CNIL de traiter un volume élevé de plaintes rapidement, sans la charge que représentent des audiences complètes.
En 2024, la CNIL avait déjà utilisé la procédure simplifiée pour des dizaines d'affaires concernant des exploitants de sites web, des petites entreprises et des collectivités locales. Aucun seuil automatique ne détermine l'orientation d'une affaire vers l'une ou l'autre procédure ; le choix relève du président de la CNIL.
Bilan des sanctions : 2024 et 2025
L'activité de sanction de la CNIL s'est considérablement intensifiée ces dernières années.
En 2024, la CNIL a prononcé 87 sanctions pour un montant total de 55,2 millions d'euros. Ces sanctions comprenaient 75 amendes (14 assorties d'une injonction sous astreinte), 8 décisions liquidant une astreinte existante, et 4 rappels à la loi. Onze organismes ont été sanctionnés spécifiquement pour avoir rendu le refus des cookies plus complexe que leur acceptation. Le 14 novembre 2024, la CNIL a infligé une amende de 50 millions d'euros à ORANGE pour avoir inséré des courriels publicitaires dans les boîtes de réception des utilisateurs sans consentement et avoir continué à lire des cookies après le retrait du consentement.
En 2025, l'application de la loi a atteint une nouvelle échelle. La CNIL a prononcé 83 sanctions pour un montant total de 486,8 millions d'euros, soit près de neuf fois le total de 2024. Cette progression s'explique par plusieurs décisions marquantes. Les cookies, la surveillance des salariés et la sécurité des données ont constitué les trois grands thèmes de l'application de la loi. Vingt et un organismes ont été sanctionnés pour des manquements liés aux traceurs, 16 organisations pour une vidéosurveillance non conforme des salariés, et 14 pour des mesures de sécurité des données insuffisantes.
Décisions marquantes de la CNIL
La CNIL s'est imposée comme l'une des autorités de protection des données les plus actives d'Europe. Les décisions suivantes illustrent ses priorités d'application sur la période 2023-2026.
Google : 325 millions d'euros (septembre 2025)
La CNIL a infligé une amende combinée de 325 millions d'euros à Google LLC (200 millions d'euros) et à Google Ireland Limited (125 millions d'euros). Google déposait des cookies lors de la création de comptes Google sans obtenir de consentement valable, affectant plus de 74 millions de comptes. Google insérait également des messages publicitaires entre les courriels privés des utilisateurs de Gmail sans consentement lorsque les utilisateurs activaient le paramètre des fonctionnalités intelligentes. La CNIL a ordonné à Google de mettre en œuvre des mesures correctives dans un délai de six mois.
Shein : 150 millions d'euros (septembre 2025)
La CNIL a infligé à Infinite Styles Services Co. Limited (la filiale irlandaise de Shein) une amende de 150 millions d'euros. Des cookies publicitaires étaient déposés sur les appareils des utilisateurs dès leur arrivée sur shein.com, avant même qu'ils aient pu interagir avec un bandeau de consentement. Les cookies étant déposés avant que le consentement ait pu être exprimé, tout mécanisme de consentement ultérieur était rendu dénué de sens.
Orange : 50 millions d'euros (novembre 2024)
Orange a été condamnée à une amende de 50 millions d'euros pour deux manquements distincts. Premièrement, la société affichait des publicités formatées comme des courriels dans les boîtes de réception des utilisateurs sans obtenir leur consentement, en violation de l'article L. 34-5 du Code des postes et des communications électroniques. Deuxièmement, après le retrait du consentement aux cookies sur le site orange.fr, les cookies préalablement déposés continuaient d'être lus. Orange a par la suite mis ses pratiques en conformité ; la CNIL a clôturé l'injonction associée en septembre 2025.
Criteo : 40 millions d'euros (juin 2023)
L'entreprise française d'adtech Criteo a été condamnée à une amende de 40 millions d'euros pour des manquements au RGPD liés à la publicité personnalisée. La CNIL a constaté que Criteo recueillait des données des utilisateurs à des fins de ciblage publicitaire sans démontrer un consentement valable, et que l'option de refus des cookies était dissimulée derrière un bouton intitulé de manière trompeuse « Accepter les cookies » dans une fenêtre secondaire.
Amazon France Logistique : 32 millions d'euros (décembre 2023)
La CNIL a infligé à Amazon France Logistique une amende de 32 millions d'euros pour avoir exploité un système de surveillance des salariés excessivement intrusif. Amazon utilisait des scanners portatifs pour suivre les travailleurs d'entrepôt à la seconde près, mesurant les temps d'inactivité entre les tâches, la vitesse de scan et les cadences de rangement. Mesurer les interruptions de travail avec une telle précision revenait à contraindre les salariés à justifier chaque pause, ce que la CNIL a jugé contraire au principe de proportionnalité.
Transfert de données vers un réseau social : 3,5 millions d'euros (décembre 2025)
Le 30 décembre 2025, la CNIL a infligé à une société non identifiée une amende de 3,5 millions d'euros pour avoir transmis les adresses courriel et les numéros de téléphone de plus de 10,5 millions de membres d'un programme de fidélité à un réseau social à des fins de ciblage publicitaire sans consentement valable. La décision a été adoptée en coopération avec 16 homologues européens, des personnes originaires de ces pays étant concernées.
NEXPUBLICA France : 1,7 million d'euros (décembre 2025)
Le 22 décembre 2025, la CNIL a infligé à NEXPUBLICA France (anciennement INETUM SOFTWARE FRANCE) une amende de 1,7 million d'euros pour ne pas avoir mis en œuvre de mesures de sécurité suffisantes dans son logiciel de services sociaux PCRM. Des failles de sécurité exposant des données sensibles liées au handicap avaient été identifiées dans des rapports d'audit interne, mais n'avaient pas été corrigées avant la survenance de violations.
Sanctions prononcées en 2026
Le 13 janvier 2026, la CNIL a infligé à FREE Mobile et FREE une amende combinée de 42 millions d'euros (27 millions et 15 millions d'euros respectivement) après qu'un attaquant ait accédé aux données personnelles de 24 millions de contrats d'abonnés, y compris des IBAN. Les deux sociétés n'avaient pas mis en œuvre de mesures de sécurité adéquates. Le 22 janvier 2026, France Travail (anciennement Pôle Emploi) a été condamnée à une amende de 5 millions d'euros pour ne pas avoir sécurisé les données des demandeurs d'emploi ; la violation a exposé les données de toutes les personnes inscrites au cours des 20 dernières années, y compris les numéros de sécurité sociale, les adresses et les numéros de téléphone.
Fondements juridiques et consentement en vertu du RGPD
Le RGPD exige que tout traitement de données repose sur l'une des six bases juridiques : le consentement, la nécessité contractuelle, l'obligation légale, la sauvegarde des intérêts vitaux, l'intérêt public ou l'intérêt légitime. Les organisations françaises doivent identifier et documenter la base applicable à chaque activité de traitement avant de la commencer.
Le consentement en France suit la norme du RGPD : il doit être libre, spécifique, éclairé et univoque. Il ne peut être déduit du silence, de cases précochées ou de la poursuite de la navigation. Le retrait du consentement doit être aussi simple que son octroi. Lorsque l'intérêt légitime constitue la base retenue, la CNIL attend des organisations qu'elles réalisent et documentent un test de mise en balance démontrant que cet intérêt prévaut sur les droits de la personne concernée.
Les catégories particulières de données, notamment les données de santé, biométriques, génétiques, religieuses, politiques et syndicales, exigent soit un consentement explicite, soit l'une des dérogations plus restreintes énumérées à l'article 9 du RGPD.
Droits des personnes concernées
Les résidents français dont les données font l'objet d'un traitement disposent de l'ensemble des droits prévus par le RGPD. Ils peuvent demander la confirmation que leurs données sont traitées et en obtenir une copie (droit d'accès). Ils peuvent faire corriger des données inexactes (droit de rectification). Ils peuvent demander la suppression dans certaines circonstances (droit à l'effacement). Ils peuvent limiter le traitement pendant la résolution d'un litige (droit à la limitation). Ils peuvent recevoir leurs données dans un format portable (droit à la portabilité des données). Ils peuvent s'opposer à un traitement fondé sur l'intérêt légitime ou à des fins de prospection directe (droit d'opposition). Ils ne peuvent faire l'objet d'une décision entièrement automatisée produisant des effets significatifs sans intervention humaine (droits relatifs à la prise de décision automatisée).
Les organisations doivent répondre aux demandes dans un délai d'un mois. Des prorogations de deux mois supplémentaires sont autorisées pour les demandes complexes ou nombreuses, mais la personne concernée doit en être informée dans le premier mois.
Exigences de notification des violations de données
La France suit le cadre du RGPD en matière de notification des violations, dont l'application est assurée par la CNIL.
Les organisations doivent signaler une violation de données personnelles à la CNIL dans un délai de 72 heures après en avoir pris connaissance, lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. La notification s'effectue via le portail en ligne de la CNIL. Une violation de données personnelles couvre tout événement entraînant la destruction, la perte, l'altération accidentelle ou illicite, ou la divulgation non autorisée de données personnelles, y compris les cyberattaques, les incidents de rançongiciel, les expositions accidentelles et les appareils perdus.
Lorsqu'une violation est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes, l'organisation doit également en informer les personnes concernées sans délai excessif. La communication doit décrire la nature de la violation, fournir les coordonnées du délégué à la protection des données, décrire les conséquences probables et exposer les mesures prises ou proposées.
Les amendes de 2026 contre FREE et France Travail illustrent que la CNIL considère une sécurité insuffisante comme un manquement autonome, distinct de la violation elle-même et s'y ajoutant. Les organisations incapables de démontrer des mesures préventives adéquates s'exposent à des sanctions même lorsqu'une violation résulte d'un attaquant externe.
Exigences relatives au délégué à la protection des données
Le RGPD exige de certains organismes qu'ils désignent un délégué à la protection des données (DPO). En France, près de 30 000 personnes exercent la fonction de DPO pour environ 80 000 organismes. Les secteurs de l'administration publique, de l'éducation et de la santé affichent les taux de désignation de DPO les plus élevés.
Un DPO doit être désigné lorsque l'organisme est une autorité ou un organisme public, lorsque les activités principales impliquent un suivi systématique et à grande échelle des personnes, ou lorsque les activités principales impliquent un traitement à grande échelle de catégories particulières de données (santé, biométrie, génétique) ou de données relatives aux condamnations pénales.
Les DPO ne doivent recevoir aucune instruction concernant l'exercice de leurs missions, doivent être associés à toutes les questions relatives à la protection des données dès le stade le plus précoce, et doivent disposer de ressources adéquates, y compris l'accès à la formation. La CNIL propose un dispositif volontaire de certification des compétences et connaissances des DPO, bien que cette certification ne soit pas obligatoire. Les désignations de DPO doivent être enregistrées auprès du système de notification en ligne de la CNIL.
Règles relatives aux cookies et aux technologies de suivi
La France est devenue le point focal de l'application des règles relatives aux cookies en Europe. La CNIL a lancé son plan d'action sur les cookies en 2019, publiant des lignes directrices et des recommandations fixant des attentes claires et précises.

La norme de consentement
En vertu tant du RGPD que de la transposition française de la directive ePrivacy (article 82 de la loi Informatique et Libertés), les cookies et autres technologies de suivi exigent un consentement préalable, éclairé et libre avant leur dépôt sur l'appareil d'un utilisateur.
Le refus des cookies doit être aussi simple que leur acceptation. Si un site web propose un bouton « Tout accepter » en un clic, il doit également proposer un bouton « Tout refuser » en un clic, au même niveau de l'interface. Dissimuler l'option de refus derrière des clics supplémentaires ou dans un texte plus petit viole l'exigence d'un consentement libre. Les cases précochées sont invalides. Les murs de cookies bloquant l'accès sauf acceptation de tous les cookies sont généralement interdits, sauf lorsqu'une alternative véritable est proposée.
Cookies essentiels et non essentiels
Les cookies strictement nécessaires à un service demandé par l'utilisateur ne nécessitent pas de consentement. Tous les autres cookies, y compris ceux d'analyse, de publicité et de suivi via les réseaux sociaux, nécessitent un consentement, sauf exemptions restreintes. La CNIL fournit des orientations précises sur les outils de mesure d'audience : les configurations d'analyse en propre peuvent bénéficier d'une exemption de consentement si elles satisfont à des conditions strictes de minimisation des données et de limitation des finalités.
Plus de cinq ans d'application des règles sur les cookies
Entre 2020 et 2025, la CNIL a sanctionné des dizaines d'organismes pour des manquements liés aux cookies. Le schéma d'application est constant : enquête, décision formelle, publication. Les amendes de 2025 contre Google (325 millions d'euros) et Shein (150 millions d'euros), combinées à l'amende de 2024 contre Orange (50 millions d'euros), confirment que la conformité en matière de cookies demeure la première priorité d'application de la CNIL.
Dispositions propres à la France au-delà du RGPD
Si le RGPD fournit le cadre central, la France a exercé sa marge de manœuvre nationale pour adopter plusieurs dispositions complétant ou renforçant le socle européen.
Données de santé et certification HDS
La France impose des exigences strictes en matière de traitement des données de santé. Les organismes qui hébergent des données de santé doivent recourir à des prestataires titulaires de la certification d'hébergement des données de santé (HDS), administrée par l'Agence du Numérique en Santé. Le processus de certification HDS, qui a remplacé les régimes d'autorisation antérieurs en 2018, exige des prestataires certifiés qu'ils respectent des normes techniques et organisationnelles précises. Les entreprises non françaises traitant des données de santé de résidents français doivent recourir à des prestataires certifiés HDS ou démontrer des garanties équivalentes.
L'âge numérique de consentement : 15 ans
La France a fixé l'âge numérique de consentement à 15 ans, en usant de la faculté offerte par le RGPD aux États membres de fixer ce seuil entre 13 et 16 ans. Les enfants de moins de 15 ans ne peuvent consentir seuls au traitement de leurs données par des services en ligne. Le titulaire de l'autorité parentale doit donner son consentement conjointement avec l'enfant. Les enfants de 15 ans et plus peuvent gérer de manière autonome leurs préférences en matière de cookies, leurs paramètres de confidentialité sur les réseaux sociaux et les choix numériques similaires.
Directives relatives aux données post-mortem
La France fait partie des rares pays à avoir légiféré sur le sort des données personnelles après le décès. L'article 85 de la loi Informatique et Libertés permet à toute personne de définir des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Ces directives peuvent être générales (enregistrées auprès d'un tiers de confiance numérique certifié par la CNIL) ou particulières (enregistrées directement auprès d'un responsable de traitement précis). En l'absence de directives, les héritiers peuvent exercer les droits du défunt sur ses données. Le 10e rapport d'innovation et de prospective de la CNIL (2025), intitulé « Nos données après nous », a exploré les implications croissantes de la mort numérique.
Vie privée des salariés et surveillance sur le lieu de travail
La France applique des protections particulièrement fortes aux données des salariés. La vidéosurveillance continue des salariés à leur poste de travail n'est pas justifiée, même à des fins de prévention des accidents. Le suivi GPS continu des véhicules des salariés doit permettre à ceux-ci de suspendre le suivi pendant les pauses. Les systèmes de surveillance mesurant l'activité avec une précision excessive, comme l'a démontré l'affaire Amazon France, violent le principe de proportionnalité. En 2025, 16 organismes ont été sanctionnés pour une vidéosurveillance non conforme des salariés, faisant de la surveillance sur le lieu de travail l'une des principales priorités d'application de la CNIL.
Transferts transfrontaliers de données
En tant qu'État membre de l'Union européenne, la France applique le cadre du RGPD pour les transferts internationaux de données. Les données personnelles circulent librement au sein de l'Espace économique européen. Les transferts hors de l'EEE requièrent l'une des garanties suivantes.
Une décision d'adéquation de la Commission européenne confirme que le pays destinataire offre une protection adéquate. Le cadre de protection des données UE-États-Unis, adopté en juillet 2023, fournit une base d'adéquation pour les transferts vers des entreprises américaines certifiées. Les clauses contractuelles types (CCT) approuvées par la Commission européenne constituent le mécanisme le plus largement utilisé pour les transferts vers des pays sans décision d'adéquation. Les règles d'entreprise contraignantes (BCR) servent aux transferts intragroupes. Des dérogations spécifiques, notamment le consentement explicite et la nécessité contractuelle, sont disponibles dans des circonstances limitées.
À la suite de l'arrêt Schrems II (CJUE, juillet 2020), les organisations recourant aux CCT ou aux BCR doivent réaliser une analyse d'impact des transferts (AIT) afin d'évaluer le niveau de protection dans le pays de destination et de déterminer si des mesures supplémentaires sont nécessaires. La CNIL a publié des orientations sur la réalisation des AIT et participe activement aux groupes de travail du CEPD sur les outils de transfert. La CNIL a également signalé des préoccupations spécifiques concernant les services d'informatique en nuage basés aux États-Unis utilisés par les institutions publiques françaises, appelant à des garanties contractuelles supplémentaires lorsque l'adéquation ne peut être présumée.
Le règlement européen sur l'intelligence artificielle en superposition
Le règlement européen sur l'intelligence artificielle (règlement (UE) 2024/1689) a été publié au Journal officiel de l'Union européenne le 12 juillet 2024 et est entré en vigueur le 1er août 2024. Il s'applique en France selon un calendrier échelonné.
Les interdictions visant les pratiques d'IA présentant un risque inacceptable, y compris l'identification biométrique en temps réel dans les espaces publics à des fins répressives et les systèmes de notation sociale, sont devenues effectives le 2 février 2025. Les règles de gouvernance et les obligations applicables aux modèles d'IA à usage général sont devenues applicables le 2 août 2025. L'applicabilité intégrale, y compris les exigences relatives aux systèmes d'IA à haut risque et les obligations de transparence, prendra effet le 2 août 2026. Une période de transition distincte, jusqu'en août 2028, s'applique aux systèmes d'IA à haut risque intégrés dans des produits réglementés, à la suite de l'accord politique de simplification du règlement sur l'IA « Digital Omnibus » du 7 mai 2026.
La désignation de l'autorité nationale compétente française
Chaque État membre doit désigner une ou plusieurs autorités nationales compétentes chargées d'assurer la surveillance du marché en vertu du règlement sur l'IA d'ici le 2 août 2025. Les autorités européennes de protection des données, dont la CNIL, ont publiquement fait valoir qu'elles devraient être désignées pour les systèmes d'IA à haut risque traitant des données personnelles, compte tenu de leur expertise existante en matière d'évaluation des droits fondamentaux.
La CNIL a clairement indiqué que les exigences du RGPD, y compris la limitation des finalités, la minimisation des données et le droit à une explication des décisions automatisées, s'appliquent pleinement aux systèmes d'IA traitant des données personnelles. Les organisations déployant l'IA doivent réaliser des analyses d'impact relatives à la protection des données pour les usages à haut risque et assurer un contrôle humain significatif de la prise de décision automatisée.
Les recommandations de la CNIL sur l'IA et le projet PANAME
En 2024 et 2025, la CNIL a finalisé une série de recommandations sur le développement de l'IA au regard du RGPD. Elles couvrent les bases légales pour les données d'entraînement, les obligations de transparence lorsque des données personnelles peuvent être mémorisées par les modèles, et les exigences de minimisation des données dans les chaînes de traitement d'apprentissage automatique. La CNIL a reconnu que la manière dont les informations sur les données d'entraînement sont communiquées peut être adaptée en fonction des risques et des contraintes opérationnelles.
La CNIL a lancé le projet PANAME (Privacy Auditing of AI Models) en partenariat avec l'ANSSI, l'agence française de cybersécurité. PANAME vise à créer une bibliothèque logicielle permettant d'évaluer si un modèle traite des données personnelles et à fournir des outils de conformité concrets aux développeurs d'IA. Des orientations sectorielles pour l'éducation et l'IA en santé sont attendues en 2025-2026 dans le cadre du plan stratégique 2025-2028 de la CNIL.
Sanctions et pouvoirs d'application
Amendes administratives en vertu du RGPD
Pour les manquements les plus graves, notamment les violations des principes de traitement des données, des exigences de consentement, des droits des personnes concernées et des règles de transfert international, les amendes peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour les manquements moins graves, notamment les défaillances en matière de tenue de registres, les obligations des sous-traitants ou les exigences de certification, les amendes peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.
Autres mesures correctrices
Au-delà des amendes, la CNIL prononce régulièrement des avertissements formels, des mises en demeure de se conformer dans des délais précis, des interdictions temporaires ou définitives de traitement, des injonctions de communiquer les violations aux personnes concernées, et des astreintes en cas de non-conformité persistante. La CNIL peut également certifier des organismes et des produits, approuver des codes de conduite et autoriser des règles d'entreprise contraignantes.
Sanctions pénales en vertu du droit français
Le Code pénal français prévoit des sanctions pénales pour certains manquements à la protection des données. Le traitement illicite de données personnelles peut entraîner jusqu'à cinq ans d'emprisonnement et une amende de 300 000 euros pour les personnes physiques. Pour les personnes morales, l'amende peut atteindre 1,5 million d'euros. Les poursuites pénales sont distinctes des sanctions administratives de la CNIL et peuvent se dérouler en parallèle.
Développements récents (2024-2026)
Le paysage français de la protection des données a évolué rapidement depuis le début de 2024.
Le bilan d'application 2024 de la CNIL a confirmé que les mécanismes de refus des cookies demeuraient la catégorie de plaintes dominante, avec 11 sanctions spécifiques aux cookies parmi les 87 prononcées dans l'année. L'amende Orange (50 millions d'euros) de novembre 2024 a confirmé que la publicité par courriel sans consentement est traitée sur un pied d'égalité avec les manquements liés aux cookies.
Le total des sanctions 2025, soit 486,8 millions d'euros répartis sur 83 sanctions, marque un changement d'échelle dans la volonté de la CNIL d'infliger des amendes à neuf chiffres à de grandes entreprises multinationales. Les décisions Google et Shein de septembre 2025 ont établi de nouveaux records pour les sanctions individuelles de la CNIL.
En décembre 2025, la CNIL a étendu son application des règles sur le ciblage publicitaire par les réseaux sociaux au secteur de la fidélisation, signalant que le partage de données à des fins publicitaires sans consentement valable sera poursuivi dans tous les secteurs, et non uniquement dans l'adtech.
Les amendes 2026 contre FREE et France Travail, prononcées en janvier, ont confirmé que les défaillances de sécurité des données à grande échelle entraînent des sanctions substantielles, même lorsqu'une violation résulte d'un attaquant externe plutôt que d'une mauvaise gestion délibérée.
Sur le plan législatif, un décret modifiant le décret 2019-536 a été soumis à l'avis de la CNIL en mars 2025 (délibération n° 2025-025), indiquant l'évolution continue des règles d'application. Les organisations devraient surveiller legifrance.gouv.fr et cnil.fr pour suivre les mises à jour du décret d'application.
La date d'applicabilité intégrale du règlement européen sur l'IA, le 2 août 2026, entraînera de nouvelles obligations pour toute organisation française déployant des systèmes d'IA à haut risque, notamment des exigences en matière d'évaluation de conformité, de mécanismes de contrôle humain et d'enregistrement dans la base de données européenne sur l'IA.
Liste de vérification de conformité pour les entreprises
Les organisations qui traitent des données personnelles de personnes en France devraient traiter les points suivants.

Établir une base légale pour le traitement. Identifier et documenter le fondement juridique de chaque activité de traitement, qu'il s'agisse du consentement, de la nécessité contractuelle, de l'obligation légale, de l'intérêt vital, de l'intérêt public ou de l'intérêt légitime.
Mettre en œuvre un consentement conforme aux cookies. Déployer un mécanisme de consentement offrant des options de refus et d'acceptation de même visibilité. Ne pas déposer de cookies non essentiels avant le consentement. Conserver des registres du consentement, y compris la version de l'avis présentée et sa date.
Désigner un DPO si nécessaire. Déterminer si votre organisation doit désigner un délégué à la protection des données et enregistrer cette désignation auprès du système de notification de la CNIL.
Réaliser des analyses d'impact relatives à la protection des données. Pour les traitements à haut risque, notamment le profilage, le traitement à grande échelle de catégories particulières de données et le suivi systématique, réaliser une AIPD avant de commencer.
Se préparer à la notification des violations. Établir des procédures internes de détection, de signalement et d'enquête des violations dans le délai de 72 heures fixé par la CNIL. Tenir un registre des violations même pour les incidents non signalés.
Traiter les exigences relatives aux données de santé. En cas de traitement de données de santé de résidents français, s'assurer que l'hébergement est assuré par un prestataire certifié HDS.
Sécuriser les transferts internationaux. Pour les transferts de données hors de l'EEE, mettre en œuvre des garanties appropriées telles que les CCT, réaliser des analyses d'impact des transferts, et documenter les mesures supplémentaires nécessaires.
Respecter la vie privée des salariés. Limiter la surveillance sur le lieu de travail à des mesures proportionnées, informer clairement les salariés, et éviter la surveillance continue.
Se préparer aux obligations du règlement sur l'IA. En cas de déploiement de systèmes d'IA traitant des données personnelles, examiner les recommandations de la CNIL sur l'IA, réaliser des AIPD pour les déploiements à haut risque, et suivre la date d'applicabilité intégrale du 2 août 2026.
Voir également : Lois françaises sur l'enregistrement et l'aperçu de la protection des données dans l'Union européenne pour un contexte juridique français et européen connexe.
Frequently Asked Questions
Qu'est-ce que la CNIL et quels pouvoirs détient-elle en France ?
La CNIL (Commission nationale de l'informatique et des libertés) est l'autorité française indépendante de protection des données, créée en 1978 par la loi Informatique et Libertés. Elle dispose de vastes pouvoirs pour enquêter sur les activités de traitement des données, mener des contrôles sur place, imposer des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, prononcer des injonctions, et ordonner des interdictions temporaires ou définitives de traitement. En 2025, la CNIL a prononcé 83 sanctions pour un total de 486,8 millions d'euros, ce qui en fait l'une des autorités de protection des données les plus actives d'Europe.
En quoi le droit français de la protection des données diffère-t-il du RGPD standard ?
La France applique directement le RGPD, qu'elle complète par des dispositions nationales prévues par la loi Informatique et Libertés. Les règles propres à la France comprennent un âge numérique de consentement fixé à 15 ans (le RGPD autorise entre 13 et 16 ans), une certification obligatoire d'hébergement des données de santé pour les entreprises traitant ces données, des directives relatives aux données post-mortem permettant à toute personne de préciser le sort de ses données après son décès, et des règles particulièrement strictes en matière de surveillance des salariés sur le lieu de travail. La France maintient également des sanctions pénales pour les manquements à la protection des données, pouvant atteindre cinq ans d'emprisonnement et 300 000 euros d'amende.
Quelles sont les exigences françaises en matière de consentement aux cookies ?
La France exige un consentement préalable, éclairé et libre avant le dépôt de cookies non essentiels. Le refus des cookies doit être aussi simple que leur acceptation : une option de refus en un clic doit apparaître au même niveau que le bouton d'acceptation. Les cases précochées et la poursuite de la navigation ne constituent pas un consentement valable. Les murs de cookies sont généralement interdits, sauf lorsqu'une alternative véritable existe. En 2025, la CNIL a infligé 325 millions d'euros à Google et 150 millions d'euros à Shein pour des manquements liés aux cookies, ainsi que 50 millions d'euros à Orange fin 2024.
Quelles sont les sanctions applicables en cas de manquement à la protection des données en France ?
Les amendes administratives en vertu du RGPD atteignent 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les manquements graves, et 10 millions d'euros ou 2 % pour les manquements moins graves. La CNIL prononce également des injonctions, des interdictions de traitement et des ordres de notification aux personnes concernées. Le Code pénal français ajoute des sanctions pénales pouvant atteindre cinq ans d'emprisonnement et 300 000 euros pour les personnes physiques, ou 1,5 million d'euros pour les personnes morales. Pour les affaires simples, la procédure simplifiée de la CNIL peut imposer des amendes jusqu'à 20 000 euros sans audience publique.
Comment la France gère-t-elle la notification des violations de données ?
Les organisations doivent notifier la CNIL dans un délai de 72 heures après avoir pris connaissance d'une violation présentant un risque pour les droits et libertés des personnes. La notification s'effectue via le portail en ligne de la CNIL. Lorsque la violation présente un risque élevé, les personnes concernées doivent également en être informées sans délai excessif. La CNIL considère une sécurité insuffisante comme un manquement autonome : FREE a été condamnée à 42 millions d'euros et France Travail à 5 millions d'euros en janvier 2026 pour des défaillances de sécurité ayant permis des violations, et non uniquement pour les violations elles-mêmes.
Comment le règlement européen sur l'IA s'applique-t-il en France ?
Le règlement européen sur l'IA est entré en vigueur le 1er août 2024. Les interdictions visant les pratiques d'IA à risque le plus élevé se sont appliquées à partir de février 2025. Les règles de gouvernance et les obligations relatives aux modèles à usage général se sont appliquées à partir d'août 2025. L'applicabilité intégrale pour les systèmes d'IA à haut risque prend effet le 2 août 2026. La CNIL se positionne comme l'autorité française de surveillance du marché pour les systèmes d'IA traitant des données personnelles et a publié des recommandations de conformité au RGPD pour les développeurs d'IA. Les organisations déployant une IA à haut risque doivent réaliser des analyses d'impact relatives à la protection des données et mettre en œuvre des mécanismes de contrôle humain.
Quel est l'âge numérique de consentement en France ?
La France a fixé l'âge numérique de consentement à 15 ans, exerçant l'option du RGPD permettant aux États membres de choisir entre 13 et 16 ans. Les enfants de moins de 15 ans nécessitent un consentement conjoint d'un parent ou tuteur et de l'enfant lui-même pour le traitement de données par des services en ligne. Les enfants de 15 ans et plus peuvent consentir de manière autonome aux paramètres de cookies, aux choix de confidentialité sur les réseaux sociaux et aux traitements de données numériques similaires. La CNIL a publié huit séries de recommandations spécifiquement consacrées aux droits numériques des enfants.
Qu'est-ce que la certification d'hébergement des données de santé (HDS) en France ?
La certification HDS est une exigence obligatoire pour les organismes qui hébergent des données de santé de résidents français pour le compte de responsables de traitement de données de santé. Administrée par l'Agence du Numérique en Santé, elle a remplacé les régimes d'autorisation antérieurs en 2018. Les prestataires certifiés doivent respecter des normes de sécurité techniques et organisationnelles précises. Les entreprises non françaises traitant des données de santé de résidents français doivent recourir à des prestataires certifiés HDS ou démontrer des garanties équivalentes. Le registre de certification est tenu par l'Agence du Numérique en Santé.
Sources and References
- Loi Informatique et Libertés (loi n° 78-17 du 6 janvier 1978), aperçu par la CNIL(cnil.fr).gov
- Loi n° 78-17 du 6 janvier 1978, texte intégral sur Légifrance(legifrance.gouv.fr).gov
- Décret n° 2019-536 du 29 mai 2019, décret d'application de la loi Informatique et Libertés(legifrance.gouv.fr).gov
- Décision n° 2018-765 DC du Conseil constitutionnel, contrôle de constitutionnalité de la loi sur la protection des données(conseil-constitutionnel.fr).gov
- CNIL, le cadre national français de protection des données(cnil.fr).gov
- CNIL, sanctions et mesures correctrices : actions en 2025(cnil.fr).gov
- CNIL, sanctions et mesures correctrices : actions en 2024(cnil.fr).gov
- Google condamnée à 325 millions d'euros pour les cookies et la publicité par courriel, CNIL(cnil.fr).gov
- Shein condamnée à 150 millions d'euros pour manquement au consentement aux cookies, CNIL(cnil.fr).gov
- Orange condamnée à 50 millions d'euros pour publicité par courriel sans consentement, CNIL(cnil.fr).gov
- Criteo condamnée à 40 millions d'euros pour manquements liés à la publicité personnalisée, CNIL(cnil.fr).gov
- Amazon France Logistique condamnée à 32 millions d'euros pour surveillance des salariés, CNIL(cnil.fr).gov
- FREE Mobile et FREE condamnées à 42 millions d'euros pour violation de données, CNIL(cnil.fr).gov
- France Travail condamnée à 5 millions d'euros pour défaillance de la sécurité des données, CNIL(cnil.fr).gov
- NEXPUBLICA FRANCE condamnée à 1,7 million d'euros pour défaillances de sécurité des données, CNIL(cnil.fr).gov
- Société de programme de fidélité condamnée à 3,5 millions d'euros pour transfert illicite de données à un réseau social, CNIL(cnil.fr).gov
- Procédure de sanction simplifiée de la CNIL, aperçu(cnil.fr).gov
- Guide pratique de la CNIL, sécurité des données personnelles (édition 2024)(cnil.fr).gov
- Guide pratique de la CNIL pour les délégués à la protection des données(cnil.fr).gov
- Recommandations de la CNIL sur l'IA pour un développement conforme au RGPD(cnil.fr).gov
- Entrée en vigueur du règlement européen sur l'IA, questions-réponses de la CNIL(cnil.fr).gov
- Droits numériques des enfants, recommandations de la CNIL(cnil.fr).gov
- Règlement général sur la protection des données de l'Union européenne, règles pour les entreprises(europa.eu).gov
- Article 85, loi Informatique et Libertés, directives relatives aux données post-mortem(legifrance.gouv.fr).gov
- 10e rapport d'innovation de la CNIL, Nos données après nous (mort numérique)(cnil.fr).gov
- Conseil de l'Union européenne, accord politique de simplification du règlement sur l'IA (7 mai 2026)(consilium.europa.eu).gov