L’année 2025 restera comme un moment charnière pour la protection des données personnelles en Europe. Le montant cumulé des amendes prononcées par la CNIL en 2025 atteint 486 839 500 euros, en très nette augmentation par rapport à 2024 (55,2 millions d’euros) et 2023 (89,2 millions d’euros). Derriennic À l’échelle européenne, les autorités ont prononcé plus de 330 amendes pour un total de 1,15 milliard d’euros. RGPDKit Le message des autorités de contrôle est sans ambiguïté : la conformité au RGPD n’est plus une option, c’est une obligation dont le non-respect se paie au prix fort.
Un bilan 2025 dominé par deux sanctions records
En 2025, la CNIL a pris 259 décisions, dont 83 sanctions et 143 mises en demeure. Parmi ces sanctions, 16 ont été prononcées par la formation restreinte et 67 via la procédure simplifiée, incluant 78 amendes dont 27 avec injonctions sous astreinte.
Si le nombre de sanctions est stable par rapport à 2024 (87 sanctions), il reste en très nette augmentation depuis 2022, où seules 21 sanctions avaient été prononcées. Cette évolution s’explique notamment par la montée en puissance de la procédure simplifiée, qui permet à la CNIL de sanctionner plus rapidement et plus efficacement les manquements au RGPD.
Ce montant record s’explique principalement par les sanctions Shein (150 millions d’euros) et Google (325 millions d’euros), prononcées toutes deux le 3 septembre 2025 dans le cadre du plan d’action de la CNIL en matière de cookies. Derriennic Ces décisions insistent sur l’impact de ces pratiques pour les internautes, dont les données sont parfois traitées à leur insu, et sur le fait que les acteurs sanctionnés ne pouvaient ignorer les règles applicables, la CNIL ayant largement communiqué sur celles-ci depuis plusieurs années. CNIL
Du côté de Meta, le groupe a cumulé 251 millions puis 91 millions d’euros supplémentaires d’amendes en 2025, RGPDKit confirmant que les géants du numérique demeurent dans le viseur des régulateurs européens.
Les trois grands thèmes de sanctions en 2025
Au-delà des affaires très médiatisées, trois domaines ont structuré l’action répressive de la CNIL tout au long de l’année.
Premièrement, les cookies et traceurs : 21 organismes ont été sanctionnés pour non-respect des règles de consentement, notamment pour dépôt sans consentement valide, information insuffisante des utilisateurs ou absence de prise en compte du refus.
Deuxièmement, la vidéosurveillance des salariés : 16 organismes ont été sanctionnés en 2025 pour non-respect des règles applicables à la vidéosurveillance des salariés. En l’absence de circonstances exceptionnelles liées notamment à des enjeux de sécurité ou de lutte contre le vol, la surveillance vidéo permanente des salariés constitue une atteinte à la protection des données personnelles. CNIL
Troisièmement, la prospection commerciale et politique : dix décisions de sanction ont concerné la prospection commerciale ou politique, rappelant l’exigence du consentement pour la prospection directe ou la transmission de données à des partenaires. La CNIL a notamment sanctionné cinq candidats aux élections européennes et législatives de 2024.
Les PME et TPE désormais pleinement concernées
En 2025, 32 % des entreprises contrôlées étaient des PME ou TPE. Sur les 87 sanctions prononcées, 69 l’ont été via la procédure simplifiée, qui cible précisément les petites structures.
En dehors des deux amendes records, les montants des sanctions restent relativement « modestes » : entre 3 000 et 20 000 euros, montant maximum dans le cadre de la procédure simplifiée. De quoi, malgré tout, avoir un impact réel sur la trésorerie d’une TPE ou d’une PME.
Dans le cadre de la procédure simplifiée, les trois manquements les plus courants ont été la sécurisation insuffisante des données personnelles (14 organismes sanctionnés), la non-réponse aux demandes de la CNIL (14 organismes) et la non-prise en compte des demandes d’effacement, d’opposition ou d’accès (14 décisions). Vie-publique
Début 2026 : le durcissement se confirme
Les premières semaines de 2026 ont immédiatement prolongé la dynamique de 2025. Le 13 janvier 2026, la CNIL a rendu deux décisions de sanction à l’encontre de FREE MOBILE et FREE, prononçant respectivement des amendes de 27 et 15 millions d’euros, CNIL suite à l’intrusion survenue en octobre 2024 ayant compromis les données de millions d’abonnés. Le 22 janvier 2026, la CNIL a sanctionné FRANCE TRAVAIL (anciennement Pôle Emploi) d’une amende de 5 millions d’euros pour ne pas avoir assuré la sécurité des données des personnes en recherche d’emploi. CNIL
Le 30 décembre 2025, une société avait déjà été sanctionnée à hauteur de 3,5 millions d’euros pour avoir transmis les données de membres de son programme de fidélité à un réseau social à des fins de ciblage publicitaire sans base légale suffisante. CNIL
Ce qu’il faut retenir
Ce bilan confirme une évolution déjà perceptible depuis plusieurs années : la CNIL applique désormais pleinement le principe d’accountability prévu à l’article 5.2 du RGPD. La conformité ne se limite plus à l’existence de procédures, de chartes ou de registres.
La CNIL utilise désormais des outils de contrôle automatisés qui scannent les sites web à grande échelle. Un bandeau cookies non conforme peut être détecté sans qu’un agent CNIL ne visite jamais le site manuellement.
Pour les DPO et responsables de traitement, l’équation est simple : les sanctions touchent aujourd’hui tous les secteurs et toutes les tailles d’organisations. Les organismes qui considèrent encore la protection des données comme une formalité administrative s’exposent à des risques financiers et réputationnels croissants, et ce, qu’ils emploient dix personnes ou dix mille.
Sources : Bilan CNIL 2025 (publié le 9 février 2026), liste des sanctions CNIL,
