Le 9 février 2026

Par Maëva Gomez, Avocate

Chiffres clés du bilan 2025 :

• 83 sanctions

• 143 mises en demeure

• 31 rappels aux obligations légales

• 2 avertissements

• 486 839 500 euros d’amendes cumulées

La CNIL a publié son bilan 2025 des sanctions et mesures correctrices. Si le nombre de sanctions reste globalement stable par rapport à 2024, le montant total des amendes connaît en revanche une hausse spectaculaire : 55,2 millions d’euros en 2024 contre 486,8 millions d’euros en 2025, soit près de neuf fois plus. Cette augmentation s’explique notamment par les amendes historiques infligées à Shein et Google.

Des sanctions particulièrement dissuasives en 2025

L’année 2025 a été marquée par des sanctions à forte portée dissuasive prononcées à l’encontre de grandes entreprises, expliquant en grande partie cette hausse significative.

La CNIL a ainsi infligé en septembre dernier des amendes historiques à :

• Shein : 150 millions d’euros

• Google : 325 millions d’euros

Ces décisions confirment une volonté claire de la CNIL de frapper fort, y compris à l’encontre des acteurs économiques les plus puissants et assurer le respect du RGPD.

Cookies et autres traceurs

Cinq ans après la publication de ses lignes directrices et recommandations relatives aux cookies, la CNIL renforce nettement sa politique de sanction, comme l’illustrent notamment les décisions Shein et Google.

Selon le bilan 2025, les manquements les plus fréquemment sanctionnés concernent :

• le dépôt de cookies sans le consentement préalable de l’utilisateur ;

• l’insuffisance des informations délivrées ne permettant pas de recueillir un consentement libre et éclairé ;

• l’absence de prise en compte effective du refus de l’utilisateur ou du retrait de son consentement.

Ces décisions rappellent que les règles relatives aux cookies sont impératives et que tout manquement peut entraîner des sanctions sévères.

Sous-traitants : rappels des obligations essentielles

Le sous-traitant est la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable de traitement dans le cadre d’un service ou d’une prestation.

La CNIL rappelle que le sous-traitant doit notamment :

• mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté ;

• ne traiter les données que sur instruction du responsable de traitement ;

• supprimer les données à l’issue de la relation contractuelle.

Par ailleurs, tout traitement réalisé par un sous-traitant doit impérativement être encadré par un contrat conclu avec le responsable de traitement.

En 2025, la CNIL a sanctionné plusieurs manquements à ces obligations, soulignant l’importance d’un encadrement rigoureux des relations avec les sous-traitants.

Procédure simplifiée

Lorsque l’affaire ne présente pas de difficulté particulière, la CNIL peut recourir à une procédure simplifiée écrite.
Dans ce cadre, le montant de l’amende administrative est plafonné à 20 000 euros.

En 2025, les trois principaux motifs de sanction dans le cadre de cette procédure ont été :

• l’insuffisance de sécurisation des données personnelles ;

• le non-respect des droits des personnes ;

• l’absence de coopération avec la CNIL.

Selon le bilan 2025, la prospection commerciale par voie électronique a également donné lieu à 10 décisions.

Pour rappel, la prospection par courriel est autorisée sous certaines conditions :

• les personnes doivent être informées préalablement ;

• leur consentement est requis lorsqu’il s’agit de particuliers ;

• les professionnels doivent disposer d’une possibilité d’opposition.

Vidéosurveillance des salariés

Enfin, la CNIL entend faire respecter strictement le cadre juridique applicable à la vidéosurveillance des salariés.

En l’absence de circonstances exceptionnelles, notamment liées à des enjeux particuliers de sécurité ou de lutte contre le vol, la surveillance vidéo permanente des salariés constitue une atteinte disproportionnée à la protection des données personnelles.

Le bilan CNIL 2025 confirme un changement d’échelle dans sa politique de sanction.

Au-delà des montants records infligés à certaines grandes entreprises, le message adressé à l’ensemble des responsables de traitement est clair : les obligations issues du RGPD doivent être respectées de manière effective, documentée et opérationnelle, sous peine de sanctions de plus en plus lourdes.

Sources

• Bilan 2025 des sanctions et mesures correctrices publié par la CNIL :
  https://www.cnil.fr/fr/bilan-sanctions-2025

• Tableau des sanctions prononcées par la CNIL en 2025
  https://www.cnil.fr/fr/les-sanctions-prononcees-par-la-cnil

• Délibération SAN-2025-004 du 1er septembre 2025 (Google)
  https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052182222

• Délibération SAN-2025-005 du 1er septembre 2025 (Shein)
  https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000052182271

Pour aller plus loin et sécuriser vos pratiques face aux exigences du RGPD, notre expertise vous accompagne dans la mise en conformité et la prévention des risques liés aux données personnelles.