Avec 259 décisions rendues et près de 487 millions d’euros d’amendes, la CNIL publie un bilan 2025 marqué par des sanctions lourdes, mais surtout par une ligne constante : les règles sont connues, leur application ne relève plus de la pédagogie.
Des montants élevés et une mécanique désormais rodée
Le chiffre impressionne : 486 839 500 euros d’amendes cumulées en 2025. Mais au-delà du volume financier, le bilan publié par la CNIL dessine une trajectoire plus structurelle.
Sur 259 décisions, 83 sont des sanctions, 143 des mises en demeure, 31 des rappels aux obligations légales et 2 des avertissements. La procédure simplifiée, mise en place en 2022, s’impose désormais comme un outil central : 67 sanctions ont été prononcées dans ce cadre, contre 16 via la procédure ordinaire devant la formation restreinte.
Parmi les sanctions, 78 comportent une amende, dont 27 assorties d’injonctions sous astreinte. Trois décisions correspondent à des liquidations d’astreinte, signe que certains manquements persistent malgré les premières décisions. Dix sanctions ont été rendues publiques.
Quatre décisions issues de la procédure ordinaire ont été adoptées en coopération avec des autorités européennes dans le cadre du guichet unique du RGPD. En parallèle, neuf projets de décisions d’homologues européens concernant des traitements impliquant des personnes résidant en France ont été examinés. Le contentieux devient pleinement européen.
Cookies : cinq ans après, l’argument de l’ignorance ne tient plus
La CNIL poursuit son plan d’action sur les cookies et autres traceurs, cinq ans après la publication de ses lignes directrices. En 2025, 21 acteurs ont été sanctionnés pour des manquements désormais bien identifiés : dépôt de traceurs sans consentement, information insuffisante, absence de prise en compte effective du refus ou du retrait du consentement.
La formation restreinte insiste sur deux éléments. D’une part, l’impact concret sur les internautes, dont les données peuvent être traitées à leur insu. D’autre part, le fait que les règles sont connues et largement communiquées depuis plusieurs années.
Deux acteurs majeurs ont ainsi été sanctionnés à hauteur de 325 millions et 150 millions d’euros. Ces deux décisions concentrent l’essentiel du montant total des amendes prononcées en 2025.
Les mises en demeure ont, elles aussi, ciblé des sites ne permettant pas un refus simple des cookies ou ne tenant pas compte du retrait du consentement.
Sécurité, sous-traitance, surveillance : des manquements récurrents
Au-delà des traceurs, le bilan 2025 met en lumière des sujets plus structurels.
Seize organismes ont été sanctionnés pour non-respect du cadre applicable à la vidéosurveillance des salariés. La CNIL rappelle que la surveillance vidéo permanente, hors circonstances exceptionnelles liées notamment à des enjeux spécifiques de sécurité ou de lutte contre le vol, porte atteinte à la protection des données personnelles. Filmer en continu des employés de caisse ou des bureaux, ou installer des caméras dissimulées sans justification proportionnée, ne répond pas aux exigences du cadre légal.
Les obligations des sous-traitants ont également donné lieu à des sanctions. La formation restreinte rappelle qu’ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées, traiter les données uniquement sur instruction du responsable de traitement et les supprimer à l’issue de la relation contractuelle.
Dans le cadre de la procédure simplifiée, trois catégories de manquements dominent : la sécurité insuffisante des données, l’absence de coopération avec la CNIL et le non-respect des droits des personnes. Quatorze organismes ont été sanctionnés pour des failles telles que l’usage de mots de passe insuffisamment robustes ou de comptes partagés. Quatorze autres pour défaut de réponse aux sollicitations de l’autorité. Quatorze décisions concernent la non-prise en compte de demandes d’effacement, d’opposition ou d’accès.
La prospection, commerciale comme politique, a donné lieu à dix décisions. La CNIL rappelle l’obligation de recueillir le consentement préalable pour la prospection électronique et de pouvoir justifier de la licéité des envois, y compris dans le cadre électoral.
Enfin, 143 mises en demeure ont été adressées en 2025. Certaines concernent le secteur de l’aide sociale à l’enfance, notamment sur la conservation des données, la gestion des habilitations ou la réalisation d’analyses d’impact. D’autres visent des applications mobiles et jeux en ligne utilisés par des mineurs, appelés à renforcer le contrôle de l’âge et la transparence.
Au fil des bilans annuels, la ligne se précise. Les manquements relevés en 2025 ne relèvent plus d’une zone grise réglementaire. Ils touchent à des fondamentaux : consentement, sécurité, traçabilité, respect des droits. La conformité entre dans une phase où l’argument de la complexité technique pèse de moins en moins face à l’exigence d’exécution.
