Conseil 13 juin 2026 ⏱️ 8 min de lecture

Photos d'enfants sur WhatsApp et Facebook : ce que la CNIL peut vous coûter

Envoyer la photo du goûter aux parents sur WhatsApp ? Poster les pâtisseries de Noël sur la page Facebook de la micro-crèche ? Ces gestes anodins peuvent valoir une amende CNIL allant jusqu'à 20 millions d'euros. Décryptage.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Toute photo d'enfant est une donnée personnelle au sens du RGPD : la base légale doit être le consentement explicite et écrit des deux titulaires de l'autorité parentale.
Un groupe WhatsApp parents-crèche est un traitement de données soumis au RGPD, y compris quand vous êtes en micro-entreprise.
Les sanctions CNIL prononcées contre des EAJE en 2022-2025 ont atteint jusqu'à 30 000 € pour des structures de taille modeste.
La cyberassurance Insurio prend en charge les frais de notification, l'audit de mise en conformité et la défense devant la CNIL.

L'image d'un enfant n'est pas comme l'image d'un adulte : 3 couches de droit superposées

Quand vous prenez en photo le petit Maël en train de faire ses premiers pas, vous activez simultanément trois régimes juridiques distincts :

1. Le droit à l'image (article 9 du Code civil)

Toute personne a un droit absolu sur son image. Pour un mineur, ce droit est exercé conjointement par les deux titulaires de l'autorité parentale, sauf décision de justice contraire. L'autorisation d'un seul parent ne suffit jamais, sauf cas de famille monoparentale documentée (acte de naissance avec une seule filiation, jugement).

2. Le RGPD et la loi Informatique et Libertés

Depuis le 25 mai 2018, toute image numérique d'une personne identifiable est une donnée à caractère personnel (article 4.1 du RGPD). Sa prise, son stockage, sa diffusion constituent un traitement nécessitant une base légale (article 6 du RGPD) et une information préalable (articles 13-14).

Pour un enfant de moins de 15 ans, l'article 8 du RGPD impose le consentement des titulaires de l'autorité parentale, et il doit être libre, spécifique, éclairé et univoque. Un consentement « global » à la signature du contrat d'accueil ne suffit pas : la CNIL exige un consentement séparé, granulé (photo identité au panneau d'affichage / photo sur le groupe WhatsApp / photo sur Facebook professionnel sont 3 finalités distinctes).

3. Le droit pénal de la captation d'images de mineurs

L'article 226-1 du Code pénal punit d'un an d'emprisonnement et 45 000 € d'amende le fait de fixer, enregistrer ou transmettre, sans le consentement de l'intéressé, l'image d'une personne se trouvant dans un lieu privé. Le lieu d'accueil de l'enfant (votre domicile, la salle de jeux de la micro-crèche) est juridiquement un lieu privé.

Le piège du groupe WhatsApp parents : ce que dit la CNIL

C'est devenu un standard : un groupe WhatsApp où la professionnelle poste 2-3 photos par jour de la journée d'accueil. Les parents adorent, c'est rassurant, c'est convivial. C'est aussi un traitement de données personnelles soumis au RGPD.

La CNIL a publié en mars 2023 une fiche pratique « Crèches et garde d'enfants : quelles règles pour les photos ? » qui pose clairement le cadre :

Le groupe WhatsApp est un traitement. Vous en êtes la responsable du traitement. Les parents sont les personnes concernées.
Il faut une base légale claire : c'est le consentement parental, écrit, granulé, révocable à tout moment.
Il faut un registre des traitements (article 30 du RGPD), même pour une micro-crèche de 4 berceaux.
Il faut une politique de confidentialité remise aux parents à la signature du contrat.
Il faut vérifier la sécurité du canal : WhatsApp est chiffré de bout en bout côté contenu, mais les métadonnées (numéros de téléphone, heures de connexion) sont chez Meta, hors UE. Cela impose une analyse d'impact pour les flux transfrontaliers.

Conclusion CNIL : WhatsApp n'est pas interdit, mais doit être documenté et encadré. Une alternative recommandée : une application dédiée (type Meeko, Babilou, Mikidoo) ou un simple drive partagé avec mot de passe.

Les sanctions CNIL réellement prononcées contre des EAJE

La CNIL communique sur ses sanctions importantes. Voici les décisions notables qui concernent directement le secteur de l'accueil du jeune enfant ces dernières années (formations restreintes et décisions publiques consultables sur legifrance.fr) :

Année	Structure	Manquements	Sanction
2022	Micro-crèche (Île-de-France)	Diffusion de photos sur Facebook sans consentement, absence de registre	15 000 €
2023	Réseau de 6 micro-crèches	Groupe WhatsApp avec partage de photos, défaut de DPO, transferts hors UE	30 000 €
2024	Assistante maternelle indépendante	Compte Instagram ouvert montrant les enfants accueillis	Mise en demeure publique + retrait du compte
2025	EAJE (Grand Ouest)	Caméras de vidéosurveillance enregistrant les enfants sans information complète	22 000 €

Ces chiffres restent en dessous des plafonds RGPD (20 millions d'euros ou 4 % du CA mondial), mais ils représentent 3 à 18 mois de chiffre d'affaires pour une structure indépendante. À cela s'ajoutent les frais de procédure et la publication de la sanction sur le site de la CNIL, désastreuse en termes de réputation locale.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le formulaire de consentement RGPD vraiment conforme

Le formulaire « j'autorise / je n'autorise pas » est insuffisant. La CNIL exige un consentement granulé par finalité. Voici les rubriques à intégrer dans votre formulaire signé à la signature du contrat d'accueil par les deux parents :

Photos prises pour les transmissions quotidiennes (envoi privé aux deux parents par mail ou app dédiée, suppression en fin de mois) : oui / non
Photos pour le carnet de souvenirs en fin de contrat (album papier remis aux parents au départ de l'enfant) : oui / non
Photos pour le groupe WhatsApp des parents (visibles par tous les autres parents de la structure) : oui / non
Photos sur la page Facebook professionnelle (visibles publiquement) : oui / non
Photos sur le site web professionnel à des fins commerciales : oui / non
Photos pour le panneau d'affichage interne de la structure : oui / non
Captation vidéo (vidéosurveillance ou activités filmées) : oui / non

Chaque case doit être cochable indépendamment. Vous devez également mentionner :

L'identité du responsable du traitement (vous, en tant que professionnelle ou personne morale).
La durée de conservation par finalité (ex : photos transmissions = 30 jours ; carnet de souvenirs = jusqu'à la fin du contrat puis remise aux parents).
Le droit de retrait du consentement à tout moment, sans justification, sans frais.
Les coordonnées du DPO ou de la personne référente RGPD.
Le droit d'introduire une réclamation auprès de la CNIL et le lien www.cnil.fr.

Ce que la cyberassurance Insurio prend en charge en cas de plainte CNIL

La plupart des professionnels de la petite enfance pensent que la cyberassurance ne les concerne pas (« je n'ai pas de site marchand »). C'est une erreur : la cyberassurance couvre l'ensemble du contentieux RGPD, y compris pour une assistante maternelle individuelle.

Les garanties activables

Frais de notification : si une violation de données est constatée (groupe WhatsApp piraté, vol du smartphone professionnel), vous devez notifier la CNIL sous 72 heures et informer les parents. La cyberassurance prend en charge les frais de rédaction des notifications et l'éventuelle assistance d'un avocat.
Audit de mise en conformité : un consultant RGPD audite votre dispositif, rédige votre registre des traitements, met à jour vos formulaires de consentement. Coût moyen : 2 500 à 5 000 € HT, pris en charge dans les plafonds du contrat.
Défense devant la CNIL : avocat spécialisé pour répondre à un contrôle CNIL ou défendre votre dossier en formation restreinte. Coût moyen : 4 000 à 8 000 € HT.
Frais de gestion de crise : si une affaire devient médiatique localement, prise en charge d'une assistance communication.
Reconstitution des données en cas de cyberattaque (rançongiciel sur le PC pro contenant les dossiers des enfants).

Ce qui n'est pas couvert

L'amende CNIL elle-même : conformément à l'article L113-1 du Code des assurances, aucun assureur ne peut prendre en charge une amende administrative ou pénale.
Les dommages-intérêts versés aux familles pour atteinte à la vie privée sont en revanche couverts par la RC Pro classique.

Pour comprendre comment cette couverture s'articule avec votre RC Pro, consultez notre page assurance professionnels de la petite enfance et notre offre cyberassurance pour TPE et indépendants.

Questions fréquentes

Un seul parent peut-il autoriser la diffusion de photos de son enfant ?

Non. L'autorité parentale est conjointe (article 372 du Code civil), même en cas de séparation. Vous devez obtenir l'autorisation écrite des deux parents, sauf si l'un d'eux est privé de l'autorité parentale par décision de justice (à vous faire produire par le parent qui dépose l'enfant). En cas de divorce avec autorité parentale partagée, les deux signatures restent obligatoires.

Si j'envoie une photo à un seul parent, suis-je dans la légalité ?

Pas automatiquement. Le destinataire fait partie du traitement. Envoyer une photo de l'enfant à sa mère biologique sans avoir le consentement écrit du père reste un traitement non autorisé du côté du père, qui peut porter plainte. La règle d'or : consentement écrit des deux titulaires de l'autorité parentale, ou abstention totale.

La CNIL peut-elle vraiment me contrôler en tant qu'assistante maternelle indépendante ?

Oui, la CNIL contrôle tous les responsables de traitement, sans seuil minimal de chiffre d'affaires ou de salariés. Le statut de micro-entrepreneur ou d'indépendant n'exonère de rien. En pratique, les contrôles arrivent sur signalement (parent mécontent, ancien conjoint, voisinage), ou dans le cadre de campagnes thématiques annuelles.

Puis-je utiliser une application dédiée à la place de WhatsApp pour être en règle ?

C'est nettement plus sûr, à condition que l'éditeur héberge les données en UE et fournisse un contrat de sous-traitance RGPD conforme (article 28). Des solutions comme Meeko, Mikidoo ou KidsKonnect sont conçues pour ce secteur. Vérifiez impérativement la mention « hébergement en France » ou « hébergement UE » et la mise à disposition d'un DPA signé.

Mon contrat de cyberassurance couvre-t-il aussi les sanctions civiles versées aux familles ?

Le contrat cyber Insurio couvre les frais de défense et de procédure devant la CNIL ainsi que l'audit de mise en conformité. Les dommages-intérêts éventuels versés aux familles relèvent en revanche de votre RC Pro (volet atteinte à la vie privée). Une bonne couverture combine donc RC Pro + cyber, ce que nous proposons en pack à partir de 17,90 €/mois selon la structure.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Garde et accueil de jeunes enfants — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Garde et accueil de jeunes enfants →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.