CNIL 2025, record d’amendes et tournant dans la compliance

La Commission nationale de l’informatique et des libertés (CNIL) a publié son rapport annuel 2025.

Les montants sont historiques. 83 sanctions prononcées pour un total de 486,84 millions d’euros d’amendes, soit neuf fois plus qu’en 2024. Cette explosion n’est pas due à une recrudescence du nombre de dossiers (259 décisions en 2025 contre 331 en 2024), mais à deux sanctions phares. Google et la plateforme Shein ont écopé de 325 M€ et 150 M€ d’amende pour non-respect massif des règles sur les cookies. Ces deux dossiers représentent près de 98 % du total des montants infligés.

Pour les entreprises françaises, ce durcissement est un signal fort. La CNIL bascule d’une logique de pédagogie vers une logique de dissuasion financière. Les amendes record traduisent une priorité donnée au poids économique de la sanction plutôt qu’au simple volume des contrôles. L’autorité confirme ainsi sa détermination à frapper les infractions graves et répétées.

Au-delà des mégas-sanctions, elle a multiplié les procédures simplifiées (amendes jusqu’à 20 000 €) pour sanctionner des manquements récurrents. En 2025, 143 mises en demeure et 31 rappels à la loi ont également été prononcés, principalement sur des défauts mineurs de conformité. Tous les amendes perçues sont recouvrées par l’État, rappelant l’importance de l’enjeu financier pour chaque contrevenant.

Cookies et suivi publicitaire : la chasse aux traceurs

Le volet le plus médiatisé du bilan concerne les cookies et traceurs. La CNIL poursuit un plan d’action débuté il y a cinq ans. En 2025, 21 entités ont été sanctionnées pour dépôts de cookies sans consentement ou bandeaux d’information incomplets. Dans le détail, les décisions récentes soulignent plusieurs constats : placement de cookies publicitaires avant tout consentement, bandeaux “cookie” sans informations sur les finalités ou absence de prise en compte du refus explicite de l’utilisateur.

En pratique, deux géants du web ont reçu les amendes les plus écrasantes. Le 1er septembre 2025, la CNIL a condamné Google à 325 M€ et Shein à 150 M€ pour avoir imposé des cookies sans consentement valable. Ces sanctions record sont justifiées par la place centrale de ces acteurs dans l’économie numérique (Gmail pour Google, millions de visiteurs mensuels pour Shein) et par le caractère « délibéré » de leurs violations des règles.

Le message est limpide. Les pratiques de tracking non conformes ne seront plus tolérées, même lorsque les entreprises ont largement communiqué sur leurs obligations. La CNIL rappelle notamment que les « cookie walls » (refuser l’accès au service si l’utilisateur n’accepte pas les cookies) peuvent être licites seulement sous strictes conditions (consentement éclairé, choix réellement équilibré).

Ce durcissement touche aussi la prospection électronique. Pour démarcher par e-mail ou SMS, le consentement préalable est obligatoire. En 2025, dix sanctions ont visé des campagnes de prospection non-conformes. La CNIL a d’ailleurs épinglé cinq candidats aux élections européennes et législatives 2024 pour n’avoir pas pu justifier le consentement des destinataires de leurs messages politiques. En somme, toute entreprise (publique ou privée) doit désormais s’assurer qu’elle ne transmet pas de données de contacts ni n’envoie de messages sans preuve de consentement clair, sous peine de sanction.

Vidéosurveillance des salariés

Au-delà des données en ligne, la CNIL a rappelé que les droits fondamentaux au travail sont aussi protégés. En 2025, 16 organisations ont été sanctionnées pour vidéosurveillance disproportionnée de leurs employés. La règle est stricte. Sauf circonstances exceptionnelles (risques graves de sécurité, lutte anti-vol avérée…), filmer en continu ou à l’insu des salariés constitue une infraction grave. Par exemple, des caméras cachées ou une surveillance permanente aux caisses d’un magasin sont explicitement interdites.

Ces mesures concernent principalement des PME et associations souvent sanctionnées par procédure simplifiée. Les amendes restent faibles (plafond 20 000 €), mais les cas révélés confirment la fermeté du gendarme. Même de petites structures (commerçants, organismes d’insertion, etc.) ont reçu des avertissements officiels. Ce volet du contrôle rappelle aux dirigeants et responsables RH que le respect de la vie privée des salariés (information, alternatives au contrôle systématique) est un impératif, tant juridique qu’éthique.

Sécurité informatique et obligations des sous-traitants

Le troisième axe majeur du bilan concerne la sécurité des données. La CNIL a sanctionné 14 organisations pour n’avoir pas mis en œuvre de mesures informatiques basiques (mots de passe robustes, gestion des habilitations, chiffrement…). Autant d’acteurs ont été épinglés pour défaut de coopération ou refus de donner suite aux demandes d’accès/effacement formulées par la CNIL. Ces sanctions soulignent qu’un simple stockage laxiste ou une réponse partielle aux droits fondamentaux est désormais inacceptable.

La vigilance s’étend aussi aux relations de sous-traitance. La Commission a rappelé que tout prestataire doit agir « sur instruction » du responsable du traitement et garantir un niveau de sécurité adapté. À ce titre, des cas récents ont fait jurisprudence. Par exemple, un hébergeur technique (Mobius) a été condamné à 1 M€ pour avoir conservé, après la fin de contrat, une copie des données de 46 millions d’utilisateurs d’une plate-forme musicale. La CNIL réaffirme que, à la clôture d’une prestation, toutes les données doivent être effacées et que ce manquement engage la responsabilité conjointe du donneur d’ordre et du prestataire.

En pratique, cela signifie qu’une entreprise doit impérativement vérifier l’application de ses clauses de sécurité et de destruction des données chez ses sous-traitants (hébergeurs, marketing, RH, etc.). Les dirigeants de PME comme d’ETI sont donc appelés à auditer leur chaîne de traitement. L’erreur d’un sous-traitant peut entraîner des sanctions directes, voire un effet domino financier et réputationnel.

Impacts opérationnels et leviers d’action

Les enseignements pour les organisations sont clairs. La « main lourde » de la CNIL est désormais un risque stratégique à intégrer. Au-delà des amendes possibles (jusqu’à 20 M€ ou 4 % du CA mondial), chaque non-conformité creuse la confiance des clients et partenaires. Dans un contexte concurrentiel, la conformité peut devenir un avantage concurrentiel – les entreprises transparentes gagnent en crédibilité.

Concrètement, cela implique de transformer les exigences réglementaires en actions concrètes. Un audit complet des pratiques de data (catalogue des traitements, gouvernance interne, DPIA) est urgent. Les départements IT et sécurité doivent renforcer les contrôles d’accès et plans de réponse aux incidents, suivant les recommandations européennes (future directive NIS2 étend aussi la responsabilité pénale des dirigeants en cas de faille majeure). Le pôle juridique, quant à lui, doit vérifier que tous les processus marketing et RH intègrent bien le recueil et la preuve du consentement, ainsi que le droit d’effacement.

En pratique, ceci passe par former les équipes aux bonnes pratiques, déployer des outils pour gérer les cookies et droits des utilisateurs, chiffrer les données sensibles et mettre en place un registre des traitements à jour. Les certificats et labels de sécurité, les revues régulières de conformité et la nomination (le cas échéant) d’un DPO compétent deviennent indispensables.

Ces efforts se traduisent non seulement par une moindre exposition au risque de sanctions, mais également par une meilleure confiance des clients et une résilience accrue contre les cyberattaques.

Au-delà de la réaction immédiate, les décideurs doivent voir en 2025 le signe d’un nouveau cycle d’application du RGPD. Après une phase d’éducation, c’est désormais le temps de la sanction. Ce réalignement de la CNIL s’inscrit dans une tendance européenne (guichet unique, coopération transfrontalière) et mondiale où les violations de données entraînent des pénalités de plus en plus lourdes. Les entreprises ont tout intérêt à considérer la protection des données non comme une contrainte subie, mais comme un élément-clé de leur stratégie et de leur responsabilité sociétale