Sanctions et mesures correctrices : la CNIL publie le bilan 2025

Article RGPD Minute RGPD

Le 9 février 2026, la Commission nationale de l’informatique et des libertés (CNIL) a publié son bilan annuel des sanctions et mesures correctrices prononcées en 2025, avec un montant total d’amendes de 486 839 500 euros.

Chiffres clés du bilan 2025

259 décisions adoptées par la CNIL en 2025.

83 sanctions prononcées, dont :

78 amendes (27 assorties d’injonctions sous astreinte) ;
3 décisions de liquidation d’astreinte ;
2 rappels à l’ordre.

143 mises en demeure adressées.
31 rappels aux obligations légales et 2 avertissements.

Montant total des amendes : 486 839 500 €.

Organisation des procédures de sanction

Parmi les 83 sanctions :

16 décisions ont été adoptées par la formation restreinte (procédure ordinaire) ;
67 décisions ont été prises par le président de la CNIL ou l’un de ses membres dans le cadre de la procédure simplifiée, mise en place en 2022 pour les dossiers moins complexes.

Cookies et autres traceurs : fin de la tolérance

La CNIL a poursuivi l’application de son plan d’action contre les cookies et traceurs non conformes, soulignant que les règles applicables ne peuvent plus être ignorées après plusieurs années de communications sur le sujet.

21 entités sanctionnées pour des manquements dans la gestion des cookies :

Dépôt de traceurs sans consentement validé ;
Informations insuffisantes empêchant un consentement éclairé ;
Non-prise en compte du refus ou retrait du consentement.

Parmi ces décisions, deux sanctions majeures ont été rendues publiques contre des acteurs internationaux :

Google a été condamné à 325 000 000 € d’amende pour non-respect des règles sur les cookies et le consentement des utilisateurs.
Shein (filiale européenne Infinite Styles Services Co Limited) a écopé de 150 000 000 € d’amende pour des pratiques similaires.

La CNIL a précisé que ces manquements portaient atteinte au droit des internautes dont les données pouvaient être traitées à leur insu.

Vidéosurveillance des salariés : un contrôle toujours sous-estimé

La CNIL a sanctionné 16 organismes pour non-respect des règles applicables à la vidéosurveillance des salariés.

La surveillance vidéo permanente des salariés, sans justification particulière,
l’installation de caméras filmant en continu les postes de travail
Les caméras dissimulées ne sont autorisées qu’à condition d’un juste équilibre entre sécurité et vie privée.

La CNIL rappelle qu’en l’absence de circonstances exceptionnelles (sécurité, prévention du vol), ces pratiques constituent une atteinte disproportionnée à la vie privée des salariés.

Obligations des sous-traitants

La formation restreinte a rappelé que les sous-traitants doivent :

Mettre en place des mesures techniques et organisationnelles appropriées ;
Traiter les données uniquement sur instruction du responsable du traitement ;
Supprimer les données à la fin de leur relation contractuelle.

les contrats sont souvent conformes sur le papier, mais le pilotage réel des prestataires reste insuffisant.

Procédure simplifiée : motifs de sanctions récurrents

Dans le cadre de la procédure simplifiée, la CNIL a sanctionné en 2025 plusieurs manquements fréquents :

Sécurité des données

14 organismes n’avaient pas mis en œuvre toutes les mesures nécessaires (mots de passe faibles, comptes partagés, etc.).

Absence de coopération avec la CNIL

14 organisations n’ont pas répondu aux demandes de l’autorité.

Droits des personnes

14 décisions liées à l’absence de réponse aux demandes d’accès, d’effacement ou d’opposition.

À cela s’ajoutent 10 sanctions en matière de prospection électronique, dont cinq visant des candidats aux élections européennes et législatives de 2024.

Mises en demeure

En 2025, la CNIL a adressé 143 mises en demeure visant notamment :

Le secteur de l’aide sociale à l’enfance pour défauts de politique de conservation, d’information des personnes, de gestion des habilitations, de registre des traitements et d’analyses d’impact.
Des sites web ne respectant pas le consentement des utilisateurs pour les cookies.
des applications et jeux en ligne fréquentés par des mineurs, avec des lacunes sur le contrôle de l’âge et la transparence.

L’accountability devient pleinement opérationnelle

Ce bilan confirme une évolution déjà perceptible depuis plusieurs années :
la CNIL applique désormais pleinement le principe d’accountability (article 5.2 du RGPD).

La conformité ne se limite plus à l’existence de procédures, de chartes ou de registres.
Elle suppose :

une mise en œuvre effective,
des contrôles internes,
une capacité à démontrer, à tout moment, que les mesures sont réellement appliquées.

Comment Actecil vous accompagne

De nombreuses organisations identifient clairement les actions à mener, mais se heurtent, dans la durée, à un manque de temps, d’outils ou de ressources internes pour les déployer efficacement.

C’est dans ce contexte qu’Actecil accompagne les organisations et leurs DPO à travers :

des missions d’accompagnement DPO, pour structurer et sécuriser les pratiques au quotidien ;
des audits centrés sur les risques réels, au-delà de la seule conformité théorique ;
des formations RGPD et IA conçues pour les équipes opérationnelles ;
des parcours de formation DPO ajustés au niveau de maturité de chaque organisation ;
des outils concrets pour assurer un pilotage continu de la conformité.

Pour 2026, entourez-vous de partenaires qui vous permettent de contrôler votre conformité.

Retour aux actualités