486 839 500 euros. C'est le montant cumulé des amendes prononcées par la CNIL en 2025 — neuf fois plus qu'en 2024. Derrière ce chiffre spectaculaire, porté par deux sanctions records contre Google (325 M€) et Shein (150 M€), se dessine une réalité plus structurelle : la CNIL ne sanctionne plus pour éduquer, elle sanctionne pour faire appliquer un cadre qu'elle considère désormais comme acquis. Décryptage d'un bilan qui concerne toutes les entreprises, des grands groupes aux TPE.
Les chiffres clés du bilan CNIL 2025
Le bilan publié par la CNIL le 9 février 2026 confirme la montée en puissance de l'action répressive engagée depuis plusieurs années. En 2025, l'autorité a rendu 259 décisions : 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements.
Sur les 83 sanctions, 67 ont été prononcées via la procédure simplifiée — cette procédure accélérée, mise en place en 2022, qui permet de sanctionner des manquements jusqu'à 20 000 euros sans passer devant la formation restreinte. 16 sanctions ont suivi la procédure ordinaire, dont les deux amendes records à l'encontre de Google et Shein pour des manquements en matière de cookies.
Pour mettre ces chiffres en perspective : en 2024, la CNIL avait prononcé 87 sanctions pour 55,2 millions d'euros. En 2023, 89,2 millions. L'explosion du montant total en 2025 est donc essentiellement portée par les sanctions cookies, mais le nombre de sanctions et le volume des mises en demeure restent dans la continuité d'une tendance haussière engagée depuis 2022 (21 sanctions seulement cette année-là).
Les chiffres à retenir
- 259 décisions dont 83 sanctions et 143 mises en demeure
- 486,8 M€ d'amendes cumulées (contre 55,2 M€ en 2024)
- 67 sanctions via la procédure simplifiée
- 78 amendes dont 27 avec injonctions sous astreinte
- 10 sanctions rendues publiques
Les principaux motifs de sanction : ce que la CNIL ne tolère plus
L'analyse des décisions 2025 fait apparaître quatre grandes catégories de manquements, qui constituent autant de priorités de contrôle pour l'autorité.
Cookies et traceurs : le sujet le plus coûteux
21 organismes ont été sanctionnés pour des manquements liés au dépôt de cookies sans consentement, à une information insuffisante ou à l'absence de prise en compte du refus de l'utilisateur. C'est dans cette catégorie que tombent les deux sanctions records de l'année (Google et Shein). La CNIL a mis en place un observatoire qui analyse périodiquement les pratiques cookies des sites à forte audience en France, et ses contrôles en ligne permettent de détecter des non-conformités sans déplacement sur place.
Vidéosurveillance des salariés : le sujet le plus fréquent
16 organismes ont été sanctionnés pour non-respect des règles applicables à la vidéosurveillance en entreprise. Les manquements constatés incluent la surveillance permanente de postes de travail, l'installation de caméras dissimulées sans justification proportionnée, et l'absence d'information des salariés. La CNIL rappelle que la surveillance vidéo permanente, hors circonstances exceptionnelles de sécurité, constitue une atteinte à la protection des données.
Sécurité des données : le fondamental négligé
14 organismes ont été sanctionnés pour sécurisation insuffisante des données personnelles : mots de passe trop faibles, comptes partagés entre utilisateurs, absence de mesures de protection élémentaires. Ce sont des manquements basiques, documentés depuis des années par la CNIL et l'ANSSI, mais qui persistent dans de nombreuses structures.
Non-coopération et non-respect des droits : le réflexe qui coûte cher
14 organismes — sociétés et professionnels libéraux — ont été sanctionnés pour n'avoir tout simplement pas répondu aux demandes de la CNIL. 14 autres décisions portaient sur le non-respect des droits des personnes (effacement, opposition, accès). Ce sont des manquements qui révèlent souvent une absence de gouvernance des données au sein de l'organisation.
À noter
La prospection commerciale et politique a également donné lieu à 10 décisions de sanction, dont cinq visant des candidats aux élections de 2024. La CNIL rappelle que le consentement préalable est obligatoire pour la prospection électronique auprès des particuliers (B2C), sauf exception pour les clients existants sollicités sur des produits analogues. En B2B, un simple droit d'opposition suffit, mais la sollicitation doit être en rapport avec la profession du destinataire.
Les PME et TPE ne sont plus épargnées
L'un des enseignements majeurs des bilans 2024 et 2025, c'est la fin de l'immunité de fait dont bénéficiaient les petites structures. La procédure simplifiée a été conçue précisément pour traiter les dossiers moins complexes — ceux qui concernent typiquement les PME, les professions libérales, les associations et les petites collectivités.
Les amendes en procédure simplifiée restent modestes (de quelques milliers d'euros jusqu'à 20 000 euros), mais leur impact est réel sur la trésorerie d'une TPE. Et au-delà de l'amende, c'est la mise en demeure qui pèse : elle impose de se mettre en conformité dans un délai contraint, souvent en mobilisant des ressources externes (avocat, consultant, outil), avec un coût bien supérieur à celui d'une mise en conformité anticipée.
Le message de la CNIL est limpide : la taille de l'organisation n'est pas un critère d'exemption. Les obligations du RGPD s'appliquent dès lors que vous traitez des données personnelles — ce qui concerne, de fait, la quasi-totalité des entreprises.
Ce que ça implique concrètement
Si vous êtes dirigeant d'une PME et que vous n'avez pas encore structuré votre conformité RGPD (registre des traitements, politique de confidentialité, gestion des droits, sécurité des données), le risque n'est plus théorique. La CNIL a démontré en 2025 qu'elle dispose des outils et de la volonté pour sanctionner les petites structures, rapidement et efficacement.
Début 2026 : la dynamique se poursuit
Les premières semaines de 2026 confirment que le rythme de 2025 n'était pas une anomalie. En janvier 2026, la CNIL a sanctionné France Travail (ex-Pôle Emploi) d'une amende de 5 millions d'euros pour défaut de sécurisation des données de millions de demandeurs d'emploi. Les sociétés Free et Free Mobile ont été condamnées à 27 et 15 millions d'euros respectivement.
Ces décisions rappellent deux choses. D'abord, que les organismes publics ne sont pas exemptés — la CNIL sanctionne aussi bien le secteur privé que le secteur public. Ensuite, que les violations de données massives, même lorsqu'elles résultent d'une attaque externe, engagent la responsabilité de l'organisme si les mesures de sécurité en place étaient insuffisantes.
Et l'IA Act arrive : un double contrôle en perspective
Au-delà du RGPD, un nouveau cadre réglementaire s'ajoute en 2025-2026 : l'IA Act (règlement européen sur l'intelligence artificielle). La CNIL a été désignée en France comme autorité de contrôle pour la majorité des systèmes d'IA à haut risque listés à l'annexe III du règlement (biométrie, emploi, scoring crédit, éducation, services essentiels).
Concrètement, cela signifie que la CNIL pourra contrôler une même organisation à la fois sur le RGPD et sur l'IA Act. Une entreprise qui utilise un outil d'IA pour trier des CV ou évaluer la solvabilité de ses clients devra démontrer sa conformité sur les deux volets — protection des données personnelles et exigences de l'IA Act (transparence, gestion des risques, supervision humaine).
Les pratiques d'IA interdites (scoring social, manipulation subliminale, reconnaissance des émotions au travail) sont déjà sanctionnables depuis février 2025. Les obligations complètes pour les systèmes à haut risque entreront en application en août 2026. Les entreprises qui ont déjà une bonne gouvernance RGPD auront une longueur d'avance — les principes sont similaires : transparence, minimisation, évaluation des risques, documentation.
Cinq enseignements concrets pour votre conformité
- La conformité documentaire ne suffit plus. Avoir un registre et une politique de confidentialité ne protège pas si les pratiques réelles ne suivent pas. La CNIL contrôle la mise en œuvre effective, pas seulement l'existence de documents.
- La sécurité de base est non négociable. Mots de passe robustes, comptes individuels, chiffrement, journalisation : ce sont des mesures élémentaires, et leur absence est systématiquement sanctionnée. L'investissement est minime comparé au risque.
- Répondre à la CNIL est une obligation, pas une option. Ne pas répondre aux demandes de la CNIL est l'un des trois premiers motifs de sanction en procédure simplifiée. C'est aussi le manquement le plus facilement évitable.
- Les droits des personnes doivent être traités, pas ignorés. Demandes d'accès, d'effacement, d'opposition : chaque demande non traitée est un risque de plainte, et chaque plainte peut déclencher un contrôle. Un processus clair de gestion des droits est indispensable.
- Anticiper coûte moins cher que réagir. Le coût d'une mise en conformité structurée (outils, accompagnement, formation) est une fraction du coût d'une réaction en urgence après une mise en demeure — sans parler de l'impact réputationnel d'une sanction publique.
Ce qu'il faut en retenir
Le bilan CNIL 2025 ne traduit pas un durcissement soudain. Il confirme la normalisation d'un cadre de contrôle qui s'applique désormais à toutes les organisations, quelle que soit leur taille. Les manquements sanctionnés en 2025 ne relèvent plus de zones grises juridiques — ce sont des fondamentaux connus, documentés, dont le non-respect est de plus en plus difficile à justifier.
Pour les entreprises, la question n'est plus de savoir si elles seront contrôlées, mais quand. Et avec l'arrivée de l'IA Act, le périmètre de ce que la CNIL peut examiner s'élargit encore. La bonne nouvelle, c'est que la conformité RGPD est un investissement, pas un coût : elle protège l'entreprise, rassure ses clients et ses partenaires, et constitue un avantage concurrentiel dans un environnement où la confiance numérique devient un critère de choix.
Vous voulez structurer votre conformité RGPD avant le prochain contrôle ?
Willaw vous aide à piloter votre registre, vos analyses d'impact et vos obligations — avec l'IA.