En 2025, la CNIL a prononcé des amendes record dans le secteur de la prospection commerciale : 900 000 € pour une société de marketing, 325 millions d'euros pour un géant du numérique. En 2026, les contrôles s'intensifient, notamment sur le démarchage téléphonique. Comment vous y préparer ?
Les 4 types de contrôles CNIL à connaître
La CNIL dispose de quatre modalités de contrôle distinctes, et votre entreprise peut faire l'objet de n'importe laquelle :
1. Le contrôle sur place
Une délégation de la CNIL se présente directement dans vos locaux. Elle peut accéder à vos systèmes informatiques, interroger vos équipes et copier tout document utile. Le procureur est prévenu 24h avant.
2. L'audition sur convocation
Vous recevez un courrier vous demandant de vous présenter dans les locaux de la CNIL à une date donnée. Vous avez 8 jours minimum de préavis et pouvez vous faire assister d'un conseil.
3. Le contrôle en ligne
Les agents vérifient depuis leurs bureaux tout ce qui est accessible publiquement : votre site web, vos formulaires de consentement, vos mentions légales. Ils peuvent utiliser une identité d'emprunt.
4. Le contrôle sur pièces
Un questionnaire vous est envoyé avec demande de justificatifs. Vous devez fournir contrats, registres de traitement, preuves de consentement, etc.
Ce qui déclenche un contrôle CNIL
Les contrôles ne tombent pas au hasard. Voici les principaux déclencheurs :
- Plaintes : un prospect signale du démarchage abusif
- Programme annuel : la prospection commerciale est une thématique prioritaire depuis 2022
- Actualité : un secteur fait parler de lui (CPF, rénovation énergétique...)
- Suivi : vérification après une mise en demeure précédente
En 2025-2026, les secteurs sous haute surveillance incluent : rénovation énergétique, assurance, formation professionnelle, et télécom B2C.
Les documents à préparer impérativement
Anticipez en constituant un dossier de conformité complet :
Registre des traitements
Document obligatoire listant tous vos traitements de données personnelles, leurs finalités, bases légales et durées de conservation.
Preuves de consentement
Pour chaque prospect contacté, vous devez pouvoir prouver :
- Quand le consentement a été recueilli
- Par quel formulaire (capture d'écran horodatée)
- Le texte exact de la case cochée
- L'adresse IP et l'heure de validation
Contrats de sous-traitance
Si vous travaillez avec des prestataires externes, les contrats doivent inclure les clauses RGPD obligatoires (article 28).
Procédures d'exercice des droits
Comment traitez-vous les demandes d'accès, de rectification, d'effacement ? Documentez vos processus et délais de réponse.
Les sanctions à redouter en 2026
Les montants explosent. Exemples de sanctions CNIL 2025 dans la prospection :
| Secteur | Manquement principal | Amende |
|---|---|---|
| Marketing digital | Prospection sans consentement | 900 000 € |
| Courtage en données | Défaut de base légale | 80 000 € |
| Rénovation énergétique | Prospection illicite | 15 000 € |
| Formation à distance | Enregistrements téléphoniques | 10 000 € |
Le défaut de coopération avec la CNIL constitue une circonstance aggravante : ne jamais ignorer un courrier de la Commission.
Checklist de conformité pour call centers
Vérifiez ces points avant qu'un contrôle ne survienne :
- Fichiers Bloctel : vos listes sont-elles purgées régulièrement ? Consultez notre guide sur les sanctions Bloctel.
- Scripts d'appel : incluent-ils l'information sur l'identité de l'appelant et la possibilité de s'opposer ?
- Enregistrements : si vous enregistrez les appels, les prospects en sont-ils informés dès le début ?
- Durées de conservation : supprimez-vous les données des prospects non convertis après 3 ans maximum ?
- Formation équipes : vos commerciaux connaissent-ils les horaires légaux d'appel ?
Comment réagir pendant un contrôle
Si la CNIL se présente :
- Coopérez : le refus d'accès est un délit pénal (article 226-22-2 du code pénal)
- Demandez l'ordre de mission : document signé par le président de la CNIL
- Faites-vous assister : votre DPO, un avocat, ou votre responsable juridique
- Notez tout : gardez une trace des questions posées et documents fournis
- Relisez le PV : vous pouvez formuler des observations avant de signer
Un contrôle bien géré peut se clôturer sans suite. Une attitude défensive ou un défaut de documentation mène quasi systématiquement à des sanctions.
Surveiller sa réputation téléphonique
Au-delà de la conformité RGPD, la CNIL s'intéresse de plus en plus à l'impact réel de vos pratiques. Un taux de signalement spam élevé peut déclencher une enquête.
Avec une solution comme HUHU pour les centres d'appels, vous pouvez monitorer en temps réel si vos numéros sont flagués comme spam par les opérateurs ou applications de blocage.
