L’année 2025 restera dans les annales de la protection des données comme celle de la maturité répressive et de la transformation réglementaire. Avec 486,8 millions d’euros d’amendes prononcées par la seule CNIL (contre 55,2 millions en 2024), l’entrée en application des premières obligations du Règlement européen sur l’IA, la publication du Digital Omnibus par la Commission européenne et la multiplication des décisions structurantes de la CJUE, l’écosystème de la conformité n’a connu aucun répit.
Cette rétrospective exhaustive revient sur chaque événement marquant, trimestre par trimestre, en France, en Europe et à l’international, avant de dresser la carte des échéances qui feront de 2026 une année au moins aussi déterminante.
France : la CNIL sur tous les fronts
Premier trimestre : cap stratégique et premières sanctions
Plan stratégique 2025-2028 (16 janvier)
La CNIL a ouvert l’année en dévoilant son nouveau plan stratégique articulé autour de quatre axes prioritaires : intelligence artificielle (clarification du cadre juridique, audit des systèmes), protection des mineurs (contrôles renforcés des plateformes, éducation au numérique), cybersécurité (accompagnement des victimes, bonnes pratiques) et usages du quotidien numérique (applications mobiles, identité numérique). Marie-Laure Denis, présidente de la CNIL, a insisté sur l’approche équilibrée entre prévention, accompagnement et répression.
Recommandations IA pour le Sommet de Paris (février)
À l’occasion du Sommet pour l’action sur l’IA (6-11 février 2025, Paris), la CNIL a publié ses recommandations actualisées sur l’application du RGPD au développement des systèmes d’IA. Elle a coorganisé avec l’autorité coréenne (PIPC) un événement sur la gouvernance des données à l’ère de l’IA, aboutissant à une déclaration commune signée par plusieurs autorités de protection des données. Ses fiches pratiques IA couvrent désormais la constitution de bases de données d’apprentissage, la détermination du régime juridique, la qualification des acteurs et les obligations d’information.
Consultation sur le référentiel sous-traitant (janvier-février)
La CNIL a mis en consultation publique un référentiel d’évaluation comportant 90 points de contrôle destiné aux sous-traitants souhaitant faire certifier leur conformité. La consultation s’est clôturée le 28 février 2025.
Deuxième trimestre : prospection et vidéosurveillance dans le viseur
Sanctions Solocal et Caloga (15 mai)
La CNIL a sanctionné Solocal Marketing Services (900 000 euros) et Caloga (80 000 euros) pour démarchage commercial sans consentement et transmission de données à des partenaires sans base légale. Les formulaires de collecte étaient volontairement trompeurs, rendant le refus pratiquement invisible. Solocal a également reçu une injonction de cesser ses opérations de prospection, assortie d’une astreinte de 10 000 euros par jour de retard.
Vidéosurveillance des salariés : vague de sanctions
Tout au long de l’année, 16 organismes ont été sanctionnés pour non-respect des règles de vidéosurveillance au travail. La procédure simplifiée, plafonnée à 20 000 euros par amende, a été massivement utilisée (67 des 83 sanctions totales en 2025). Les manquements portaient principalement sur la surveillance excessive, l’absence d’information des salariés et le défaut de proportionnalité des dispositifs.
Prospection politique : l’observatoire des élections
Le bilan 2024 de l’observatoire des élections, publié en juillet, a révélé une hausse de 60 % des signalements par rapport à 2022. Cinq candidats aux élections européennes et législatives de 2024 ont été sanctionnés pour prospection politique illicite. Un parti à lui seul a concentré plus de la moitié des signalements. La CNIL a rappelé l’obligation de justifier la licéité des envois de messages politiques.
Troisième trimestre : les sanctions records de septembre
Google : 325 millions d’euros (1er septembre)
La CNIL a infligé une amende de 200 millions d’euros à Google LLC et 125 millions à Google Ireland Limited pour deux séries de manquements. Premièrement, l’affichage de publicités sous forme d’e-mails dans les onglets « Promotions » et « Réseaux sociaux » de Gmail sans consentement préalable, touchant 53 millions d’utilisateurs français sur 74 millions de comptes. Deuxièmement, un parcours de création de compte biaisé : jusqu’en octobre 2023, refuser les cookies publicitaires personnalisés nécessitait six clics contre deux pour les accepter. Il s’agit de la troisième sanction cookies contre Google par la CNIL, après 100 millions (2020) et 150 millions (2021), illustrant une escalade constante face à la récidive.
Shein : 150 millions d’euros (1er septembre)
Infinite Styles Services Co. Limited, filiale irlandaise du groupe Shein, a écopé de 150 millions d’euros pour de multiples violations cookies : dépôt de 10 types de cookies publicitaires avant toute interaction de l’utilisateur, bandeaux d’information incomplets, absence d’information sur les tiers déposant des traceurs, et inefficacité des mécanismes de refus et de retrait du consentement. Avec 12 millions de visiteurs mensuels en France, l’échelle du manquement a pesé lourd. Shein a annoncé un recours devant le Conseil d’État et la CJUE.
Finalisation des recommandations IA (juillet)
La CNIL a finalisé ses recommandations sur le développement des systèmes d’IA et annoncé ses futurs travaux : nouvelles recommandations sur les responsabilités des acteurs de la chaîne de création (concepteurs, hébergeurs, réutilisateurs, intégrateurs), clarification des conséquences du RGPD sur les modèles non anonymes, étude du cas de l’open source. Elle a également lancé le projet PANAME (Privacy AuditiNg of AI ModEls) en partenariat avec l’ANSSI.
Quatrième trimestre : clôture en fanfare
American Express : 1,5 million d’euros (27 novembre)
sanction american express rgpd a été sanctionnée pour placement de cookies sans consentement, dépôt malgré le refus de l’utilisateur, et lecture persistante des cookies après retrait du consentement. L’inspection remontait à janvier 2023.
Mobius Solutions (Deezer) : 1 million d’euros (11 décembre)
Ce sous-traitant israélien, opérant sous la marque Optimove, a été sanctionné pour avoir conservé les données de 46 millions d’utilisateurs Deezer après la fin du contrat, les avoir réutilisées sans instruction du responsable de traitement pour améliorer ses propres services, et ne pas avoir tenu de registre des activités de traitement. C’est l’une des sanctions les plus significatives visant directement un sous-traitant non établi dans l’UE.
Nexpublica France : 1,7 million d’euros (22 décembre)
Anciennement Inetum Software France, Nexpublica a été sanctionnée pour insuffisance des mesures de sécurité de son logiciel PCRM utilisé par des MDPH. Des usagers avaient pu accéder aux documents de tiers, révélant des données de santé liées au handicap. La CNIL a retenu la méconnaissance de principes élémentaires de sécurité, le nombre de personnes concernées et la sensibilité des données.
Transmission de données à un réseau social : 3,5 millions d’euros (30 décembre)
La CNIL a infligé 3,5 millions d’euros à une société (non nommée publiquement, identifiée par la presse comme Intersport) pour avoir transmis les données de 10,5 millions de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire, sans consentement valable.
Bilan chiffré 2025 de la CNIL
| Indicateur | 2024 | 2025 |
| Nombre de sanctions | 87 | 83 |
| Montant total des amendes | 55,2 M€ | 486,8 M€ |
| Sanctions via procédure simplifiée | n.c. | 67 sur 83 |
| Mises en demeure | n.c. | 143 |
| Sanctions cookies | n.c. | 21 |
| Sanctions vidéosurveillance salariés | n.c. | 16 |
| Sanctions prospection (commerciale + politique) | n.c. | 10 |
| Ce qu’il faut retenir : le montant record s’explique par deux méga-sanctions cookies (Google et Shein), mais la dynamique de fond est tout aussi révélatrice : la procédure simplifiée montée en puissance (67/83 sanctions), les sous-traitants sont désormais directement ciblés (Mobius, Nexpublica), et le calcul des amendes se fait sur le chiffre d’affaires mondial du groupe, y compris pour les manquements ePrivacy. |
Europe : IA Act, Digital Omnibus et transferts internationaux
Règlement européen sur l’IA (AI Act) : premières obligations
2 février 2025 : interdictions et littératie IA
Première échéance majeure du Règlement (UE) 2024/1689 : les pratiques d’IA à risque inacceptable sont désormais interdites. Sont prohibés le scoring social, la manipulation subliminale, le policing prédictif fondé uniquement sur le profilage, le moissonnage non ciblé d’images faciales, la reconnaissance émotionnelle dans les établissements scolaires et sur le lieu de travail, la catégorisation biométrique inférant des caractéristiques sensibles, et l’identification biométrique à distance en temps réel (sauf exceptions). En parallèle, l’obligation de littératie IA (article 4) impose à tout fournisseur et déployeur de former son personnel. La Commission a publié des lignes directrices sur les pratiques interdites et sur la définition du système d’IA.
2 août 2025 : obligations GPAI et gouvernance
Deuxième échéance : les règles de gouvernance et les obligations pour les modèles d’IA à usage général (GPAI) sont entrées en application. Le Bureau européen de l’IA est devenu pleinement opérationnel, accompagné du Comité IA (représentants des États membres). Les fournisseurs de GPAI doivent désormais assurer la transparence de la documentation technique, respecter le droit d’auteur et, pour les modèles à risque systémique, réaliser des tests adversariaux et notifier les incidents graves. Le Code de bonnes pratiques pour l’IA générale a été finalisé et signé par Amazon, Google, Microsoft, OpenAI, Anthropic et d’autres. Le régime de sanctions est également entré en vigueur (jusqu’à 35 M€ ou 7 % du CA mondial pour les pratiques interdites).
Digital Omnibus : la réforme qui change tout (19 novembre)
La Commission européenne a publié le 19 novembre 2025 son paquet numérique (Digital Package), comprenant deux règlements proposant des amendements majeurs au RGPD, à la directive ePrivacy, à NIS2, au Data Act et au Règlement IA. Les principales modifications proposées au RGPD sont les suivantes :
Définition des données personnelles : adoption d’une approche relative/subjective. Les données pseudonymisées pourraient ne plus être considérées comme personnelles pour une entité n’ayant pas les moyens de réidentifier les personnes, codifiant l’arrêt CJUE EDPS c. CRU (septembre 2025).
Cookies : transfert des règles de la directive ePrivacy vers le RGPD. Refus en un clic obligatoire. Respect du choix de l’utilisateur pendant au moins 6 mois. Exemptions pour les cookies de mesure d’audience agrégée, de sécurité et de transmission. Préparation de signaux automatisés de consentement (niveau navigateur). Les sanctions passent au régime RGPD (jusqu’à 4 % du CA mondial).
IA et données personnelles : reconnaissance explicite de l’intérêt légitime pour le développement et le déploiement de systèmes d’IA, avec droit d’opposition inconditionnel. Exemptions pour le traitement résiduel de catégories spéciales de données.
Simplification administrative : AIPD harmonisées au niveau UE (listes EDPB remplaçant les listes nationales), guichet unique de notification d’incidents, allègements pour les PME et ETI, dispense de registre des traitements pour les petites structures.
Report de l’IA Act : les obligations pour les systèmes d’IA à haut risque (Annexe III), initialement prévues pour août 2026, seraient reportées jusqu’à 16 mois.
| Réaction : la proposition a suscité des réactions contrastées. Le commissaire Michael McGrath a insisté sur le fait que « le cœur du RGPD reste intact », tandis que l’EFF a qualifié le paquet de menace pour les droits des utilisateurs. L’EDPB et l’EDPS doivent rendre un avis conjoint début 2026. Le texte suivra la procédure législative ordinaire (Parlement + Conseil), avec des amendements substantiels attendus. |
EDPB : décisions structurantes
Avis sur les données personnelles dans les modèles d’IA (décembre 2024, appliqué en 2025)
L’avis de l’EDPB du 18 décembre 2024, sollicité par l’autorité irlandaise (DPC), a guidé toute l’année 2025. Il confirme que l’intérêt légitime peut constituer une base légale pour le web scraping destiné à l’entraînement de modèles d’IA, sous réserve du test en trois étapes. Il établit également des seuils élevés pour démontrer la nécessité du traitement et rappelle l’obligation pour les déployeurs de vérifier la licéité du développement du modèle.
Adéquation Royaume-Uni : extension puis renouvellement
En mai 2025, l’EDPB a adopté un avis reconnaissant la nécessité d’une extension technique des décisions d’adéquation UK jusqu’au 27 décembre 2025, le temps que le Data (Use and Access) Act 2025 soit finalisé par le Parlement britannique. En octobre, l’EDPB a adopté ses avis définitifs (26/2025 et 27/2025) sur le renouvellement jusqu’en 2031, saluant l’alignement continu du cadre britannique avec le RGPD tout en signalant des préoccupations sur l’évolution des lois de surveillance (Technical Capability Notices) et le nouveau test d’adéquation pour les transferts ultérieurs.
Adéquation Organisation européenne des brevets (mai)
Première décision d’adéquation visant une organisation internationale (et non un pays), l’avis favorable de l’EDPB a ouvert la voie à de futurs accords similaires.
Lignes directrices DSA/RGPD (septembre)
L’EDPB a adopté en plénière des lignes directrices sur l’articulation entre le DSA et le RGPD, couvrant les systèmes de notification et action, les recommandeurs de contenu, la modération, la publicité ciblée et le profilage algorithmique. La consultation publique s’est close le 31 octobre 2025.
EDPB vs DPC (Meta) : confirmation du pouvoir d’enquête
La CJUE a confirmé début 2025 que l’EDPB a le pouvoir d’ordonner aux autorités nationales d’élargir leurs enquêtes dans les affaires transfrontalières. La DPC irlandaise avait contesté ce pouvoir dans les dossiers Meta (Facebook, Instagram, WhatsApp). Le Tribunal de l’UE a rejeté ses arguments.
Transferts internationaux : un paysage en mouvement
EU-US Data Privacy Framework : validé par le Tribunal (3 septembre)
Le Tribunal général de l’UE a rejeté le recours en annulation du député français Philippe Latombe contre le DPF, confirmant que les États-Unis assurent un niveau de protection adéquat. Le Tribunal a validé l’indépendance du Data Protection Review Court et l’encadrement de la collecte en masse. Latombe a toutefois fait appel devant la CJUE. Parallèlement, la composition du PCLOB américain (un seul membre républicain sur cinq, sans quorum) maintient une incertitude sur la supervision à long terme. Un « Schrems III » reste à l’horizon.
Projet d’adéquation UE-Brésil
La Commission a publié le 5 septembre un projet de décision d’adéquation pour le Brésil, suivi d’un avis positif de l’EDPB le 5 octobre. L’adoption formelle interviendra début 2026 (elle sera effective le 26 janvier), créant la plus grande zone mondiale de libre circulation des données (UE + Brésil = plus de 670 millions de personnes).
Transposition NIS2 : les retards français
La France a accumulé un retard significatif dans la transposition de la directive NIS2. Le Sénat a voté le texte le 12 mars 2025, la commission spéciale de l’Assemblée nationale a adopté une nouvelle version le 10 septembre. Fin 2025, la « Loi relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » est en attente de promulgation et de décrets d’application, pour une mise en application effective début-mi 2026. Entre 15 000 et 18 000 entités seront concernées en France, classées en entités essentielles (EE) et importantes (EI). L’ANSSI a annoncé un délai de grâce de trois ans avant sanctions.
Sommet pour l’action sur l’IA (Paris, 6-11 février)
Le Sommet a réuni plus de 40 000 participants de 100 pays, coprésidé par la France et l’Inde. Les résultats majeurs incluent la Déclaration de Paris sur une IA inclusive et durable (60 signataires), la Coalition pour la protection des enfants face à l’IA, la Déclaration sur le contrôle humain des systèmes d’armes IA, et le plan d’investissement français de 109 milliards d’euros. La Commission européenne a annoncé 50 milliards d’euros de fonds européens en faveur de l’IA. La CNIL y a promu la gouvernance des données personnelles à l’ère de l’IA et signé des partenariats avec plusieurs autorités internationales.
CJUE : jurisprudence clé 2025
| Date | Affaire | Apport |
| 8 janv. | Bindl c. Commission (T-354/22) | Commission condamnée à 400€ de dommages pour transfert de données vers Meta sans garanties |
| T1 2025 | Dun & Bradstreet (ADM) | Droit à une explication significative des décisions automatisées (art. 15 RGPD). Les secrets d’affaires ne justifient pas l’opacité |
| T1 2025 | EDPB c. DPC (Meta) | Confirmation du pouvoir de l’EDPB d’ordonner l’élargissement des enquêtes transfrontalières |
| 3 sept. | Latombe c. Commission (T-553/23) | Validité du DPF confirmée. Indépendance du DPRC reconnue. Appel en cours. |
| 4 sept. | EDPS c. CRU (C-413/23) | Données pseudonymisées : approche relative confirmée (codifiée par Digital Omnibus) |
Synthèse chronologique 2025
| Date | Événement |
| 16 janv. | Plan stratégique CNIL 2025-2028 |
| 2 févr. | AI Act : interdictions et littératie IA en vigueur |
| 6-11 févr. | Sommet pour l’action sur l’IA (Paris) |
| Févr. | CNIL : recommandations IA actualisées |
| 12 mars | Sénat : vote de la loi NIS2 française |
| 6 mai | EDPB : adéquation EPO + extension UK |
| 15 mai | CNIL : Solocal (900 K€) + Caloga (80 K€) |
| Juill. | CNIL : bilan observatoire élections 2024 + finalisation reco IA |
| 2 août | AI Act : obligations GPAI + gouvernance en vigueur |
| 1er sept. | CNIL : Google (325 M€) + Shein (150 M€) |
| 3 sept. | CJUE : DPF validé (Latombe c. Commission) |
| 4 sept. | CJUE : approche relative des données pseudonymisées |
| 5 sept. | Commission : projet adéquation Brésil |
| 10 sept. | Assemblée nationale : vote commission NIS2 |
| 12 sept. | EDPB : lignes directrices DSA/RGPD |
| Oct. | EDPB : avis adéquation UK renouvelée (2031) |
| 5 oct. | EDPB : avis positif adéquation Brésil |
| 19 nov. | Commission : Digital Omnibus publié |
| 27 nov. | CNIL : American Express (1,5 M€) |
| 11 déc. | CNIL : Mobius/Deezer (1 M€) |
| 17 déc. | Commission : Code de pratique marquage contenu IA |
| 22 déc. | CNIL : Nexpublica (1,7 M€) |
| Déc. | UK : adéquation renouvelée formellement |
| 30 déc. | CNIL : [Intersport] (3,5 M€) + transfert données réseau social |
Perspectives 2026 : l’année de toutes les convergences
Échéances réglementaires confirmées
| Date | Échéance |
| Janv. | Adoption formelle adéquation mutuelle UE-Brésil |
| 5-6 févr. | 20e Université des DPO de l’AFCDP |
| 9 févr. | Publication du bilan CNIL 2025 (486,8 M€) |
| Févr. | Commission : lignes directrices classification systèmes IA haut risque (art. 6) |
| Févr. | EDPB/EDPS : avis conjoint Digital Omnibus |
| 15-22 mars | Élections municipales françaises (observatoire CNIL + Règlement 2024/900) |
| S1 2026 | Entrée en vigueur Loi Résilience (NIS2 France) + décrets ANSSI |
| Juin | 10e Prix CNIL-Inria de la protection de la vie privée |
| 2 août | AI Act : obligations systèmes haut risque Annexe III + transparence (art. 50) |
| 11 août | Loi anti-démarchage téléphonique : opt-in obligatoire, fermeture Bloctel |
| 2026 | G7 des autorités de protection des données (Paris, CNIL hôte) |
| 2026 | Convention 108+ : entrée en vigueur attendue (38 ratifications) |
| 2026 | Procédure législative Digital Omnibus (Parlement + Conseil) |
Tendances à surveiller
Le RGPD en mutation : le Digital Omnibus va monopoliser les débats. La redéfinition des données personnelles, l’intégration des cookies dans le RGPD et les facilitations IA sont potentiellement les plus grandes modifications du cadre depuis 2018. L’avis EDPB/EDPS attendu en février sera décisif.
IA Act en phase critique : la Commission doit publier les lignes directrices sur la classification des systèmes à haut risque, les États membres doivent mettre en place au moins un bac à sable réglementaire. Le report potentiel des obligations haut risque (proposé par le Digital Omnibus) crée une incertitude pour les entreprises.
Transferts transatlantiques : l’appel Latombe devant la CJUE, la situation précaire du PCLOB américain et l’évolution de l’administration Trump sur la surveillance maintiennent le spectre d’un « Schrems III ». Les entreprises doivent conserver des mécanismes alternatifs (CCT, BCR).
Cybersécurité : l’entrée en vigueur effective de NIS2 en France va impacter 15 000 à 18 000 entités. L’ANSSI publiera les référentiels techniques (Q2 2026), la phase d’enregistrement (Q3) puis l’enforcement (Q4). Le Digital Omnibus propose aussi un guichet unique de notification d’incidents.
Consentement en transformation : entre les recommandations CNIL sur le consentement multi-terminaux (publiées en janvier 2026), la consultation sur la preuve du consentement marketing, et le futur régime cookies/RGPD du Digital Omnibus, le modèle du consentement est en pleine recomposition.
Élections municipales 2026 : avec le Règlement (UE) 2024/900 sur la publicité politique, la CNIL surveillera de près le ciblage électoral. L’observatoire des élections est réactivé.
Tableau récapitulatif des sanctions majeures CNIL 2025
| Date | Organisme | Montant | Motif principal |
| 15 mai | Solocal Marketing Services | 900 K€ | Prospection sans consentement, transfert illicite |
| 15 mai | Caloga | 80 K€ | Prospection sans consentement |
| 1er sept. | Google (LLC + Ireland) | 325 M€ | Cookies Gmail + parcours création compte biaisé |
| 1er sept. | Shein (Infinite Styles) | 150 M€ | Cookies sans consentement, 12 M visiteurs/mois |
| 27 nov. | American Express Carte Fr. | 1,5 M€ | Cookies malgré refus, lecture après retrait |
| 11 déc. | Mobius Solutions (Deezer) | 1 M€ | Conservation 46 M utilisateurs, réutilisation illicite |
| 22 déc. | Nexpublica France | 1,7 M€ | Sécurité insuffisante PCRM (MDPH, données handicap) |
| 30 déc. | [Intersport] | 3,5 M€ | Transfert 10,5 M fidélité vers réseau social |
Note : le tableau ne recense que les sanctions majeures nominatives. 67 sanctions simplifiées (plafond 20 K€) et 5 sanctions de candidats politiques complètent le bilan. Total 2025 : 83 sanctions, 486,8 M€.
Mot de la rédaction
| En 2025, la protection des données a définitivement quitté le territoire de la contrainte purement administrative pour devenir un enjeu stratégique, financier et géopolitique de premier plan, et les organisations qui n’auront pas intégré cette réalité dans leur gouvernance avant les échéances majeures de 2026 risquent, tout simplement, de ne plus pouvoir rattraper le train. |
- Le Délégué à la Protection des Données (DPO) : un pilier de la conformité RGPD
- RGPD et Immobilier : naviguer dans le nouveau paysage de la protection des données
- Workbook RGPD, la conformité RGPD des CSE – Le guide incontournable pour la protection des données dans les comités sociaux et économiques
