Le premier trimestre 2026 aura été particulièrement dense en matière de protection des données personnelles. Trois événements majeurs se sont succédé entre janvier et mars : une amende de 42 millions d’euros infligée par la CNIL à Free Mobile et Free, la validation par le Conseil d’État de la sanction de 40 millions d’euros prononcée contre Criteo, et la publication par la CNIL de ses recommandations finales sur le consentement multi-terminaux pour les cookies. Ces décisions dessinent un cadre de plus en plus exigeant auquel toute entreprise traitant des données personnelles doit se préparer.

Free Mobile et Free : 42 millions d’euros pour défaut de sécurité

En janvier 2026, la CNIL a infligé une amende totale de 42 millions d’euros à Free Mobile et Free, notamment pour manquements graves à leurs obligations de sécurité. La décision fait suite à une cyberattaque survenue en octobre 2024 au cours de laquelle un attaquant avait accédé aux données de 24 millions de contrats d’abonnés, incluant des IBAN.

La CNIL a identifié deux défaillances majeures. D’une part, l’absence d’authentification multifactorielle sur les VPN utilisés pour le télétravail. D’autre part, l’inefficacité des mesures de détection d’intrusions en place. Ces deux manquements caractérisent une violation de l’article 32 du RGPD, qui impose aux responsables de traitement de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données.

L’enseignement pratique est direct : l’authentification par simple mot de passe ne suffit plus pour les accès distants aux systèmes d’information. L’authentification multifactorielle est désormais considérée par la CNIL comme une mesure minimale exigible, de même que la journalisation des accès permettant de détecter les comportements anormaux.

Criteo : le Conseil d’État valide 40 millions d’euros d’amende

Par un arrêt du 4 mars 2026 (n°482872), le Conseil d’État a rejeté le recours formé par Criteo contre la sanction de 40 millions d’euros prononcée par la CNIL en juin 2023, clôturant définitivement ce contentieux. La juridiction administrative suprême a validé la totalité de l’amende en confirmant la gravité des trois manquements constatés : absence de preuve de consentement valide pour le ciblage publicitaire, défaut d’information des personnes concernées, et obstacles à l’exercice du droit d’accès. Le Conseil d’État a notamment relevé que 370 millions d’identifiants utilisateurs étaient traités dans l’Union européenne, dont 50 millions en France.

Cette décision constitue un précédent majeur pour l’ensemble du secteur de la publicité en ligne. Elle confirme qu’invoquer l’intérêt légitime comme base légale du traitement ne dispense pas de documenter et de prouver le consentement des personnes concernées. La chaîne de consentement doit être tracée et conservée de bout en bout, sous peine de s’exposer à des sanctions confirmées en dernier ressort.

Cookies multi-terminaux : les nouvelles recommandations de la CNIL

Le 16 janvier 2026, la CNIL a publié ses recommandations finales sur le consentement multi-terminaux pour les cookies et autres traceurs, faisant suite à une consultation publique menée en avril 2025. Ces recommandations encadrent les conditions dans lesquelles un consentement recueilli sur un terminal peut être étendu à d’autres terminaux utilisés par la même personne.

Par ailleurs, le 25 février 2026, la CNIL a ouvert une consultation publique sur son projet de recommandation relatif aux outils de rejeu de session, ces technologies qui reconstituent l’intégralité du parcours de navigation d’un utilisateur sous forme de vidéos rejouables. La CNIL considère que le rejeu de session constitue un traceur soumis au consentement préalable. Les usages admis se limitent à la détection d’erreurs techniques, l’amélioration de l’expérience utilisateur et le support client. Les usages marketing et de profilage sont explicitement exclus. Cette consultation est désormais clôturée. 

Ce que cela implique concrètement pour votre entreprise

Sur la sécurité des données

L’affaire Free établit clairement que l’authentification multifactorielle sur les accès distants et la journalisation des connexions sont des mesures désormais attendues par la CNIL, y compris pour les entreprises qui ne traitent pas de données sensibles au sens strict.

Sur le consentement publicitaire

La décision Criteo rappelle que la charge de la preuve repose sur le responsable de traitement. Documenter la chaîne de consentement n’est pas une précaution optionnelle : c’est une condition de défense en cas de contrôle ou de contentieux.

Sur les outils numériques de suivi comportemental

Les travaux en cours de la CNIL sur le rejeu de session anticipent une prochaine vague de contrôles sur les sites à fort trafic. Les équipes techniques et juridiques ont intérêt à auditer dès maintenant les outils de mesure d’audience et d’analyse comportementale déployés sur leurs plateformes.

Pour toute question sur la mise en conformité de vos traitements ou sur la gestion d’un contrôle CNIL, notre cabinet avocat RGPD accompagne les entreprises à chaque étape de leur démarche de conformité.