Une activite repressive soutenue en 2025
L’annee 2025 a confirme le renforcement de l’activite repressive de la CNIL. Le nombre de sanctions prononcees et le montant total des amendes ont atteint des niveaux sans precedent, temoignant de la montee en puissance de l’autorite de controle francaise et de sa volonte de faire respecter le RGPD de maniere effective.
La CNIL a diversifie ses cibles en sanctionnant aussi bien des grandes entreprises du numerique que des PME, des collectivites territoriales et des professionnels de sante. Cette approche demontre que la conformite au RGPD concerne toutes les organisations, quelle que soit leur taille ou leur secteur d’activite.
Les principaux motifs de sanction
Les manquements a la securite des donnees restent le premier motif de sanction. Les violations de l’article 32 du RGPD representent une part significative des sanctions prononcees. Les defauts de chiffrement, les controles d’acces insuffisants, les mots de passe trop faibles et les failles de securite non corrigees figurent parmi les manquements les plus frequemment constates.
Le non-respect du droit d’opposition et des demandes d’exercice des droits constitue le deuxieme motif de sanction. Plusieurs organisations ont ete sanctionnees pour n’avoir pas repondu aux demandes de suppression ou d’acces dans les delais prevus par le RGPD, ou pour avoir impose des procedures excessivement complexes.
Les manquements a l’obligation d’information et de transparence continuent de motiver des sanctions. Des politiques de confidentialite incompletes, des bandeaux cookies non conformes, et des informations insuffisantes sur les finalites du traitement ont conduit a des amendes significatives.
La procedure simplifiee de sanction
La CNIL utilise de plus en plus la procedure simplifiee introduite en 2022 pour traiter rapidement les dossiers les plus simples. Cette procedure permet au president de la formation restreinte de statuer seul, sans audience, pour des amendes pouvant atteindre 20 000 euros et des astreintes jusqu’a 100 euros par jour de retard.
La procedure simplifiee a permis de traiter un nombre important de dossiers et de sanctionner des manquements qui, par le passe, auraient pu rester sans suite en raison de la lourdeur de la procedure ordinaire. Elle represente un outil de dissuasion efficace, particulierement aupres des petites structures.
Les enseignements pour les organisations
L’analyse des sanctions de la CNIL permet d’identifier les priorites de mise en conformite. La securite des donnees, la gestion des droits des personnes, la transparence de l’information et le respect des regles relatives aux cookies constituent les domaines ou les manquements sont le plus severement sanctionnes.
La cooperation avec la CNIL pendant le controle et la mise en oeuvre rapide de mesures correctives sont systematiquement prises en compte comme circonstances attenuantes. A l’inverse, l’absence de DPO, l’inexistence du registre des traitements et le defaut de cooperation aggravent la sanction.
