En une phrase. La CNIL a prononcé 83 sanctions en 2025 pour un cumul de 486,8 millions d’euros, soit la deuxième année la plus active de son histoire après 2023. Les sanctions sont dominées par la procédure simplifiée (60 % des affaires), qui permet un traitement rapide des manquements évidents. Les priorités pour 2026 incluent : intelligence artificielle générative, cookies et traceurs, transferts internationaux post-Schrems II, données des mineurs en ligne, et données de santé.
Le bilan CNIL 2025 confirme une tendance lourde : la France est devenue l’autorité de protection des données la plus active d’Europe en volume de sanctions (devant l’Italie et l’Espagne), bien que les montants individuels restent inférieurs à ceux de l’Irlande (où siègent les grandes plateformes). La procédure simplifiée créée en 2022 a profondément changé la dynamique d’application : auparavant, une sanction prenait 18-24 mois ; aujourd’hui, certaines sont rendues en 4-6 mois.
Pour les approfondissements connexes : sanctions RGPD 2025, bandeau cookies CNIL, contrôle CNIL.
Points clés
- 83 sanctions en 2025 pour un cumul de 486,8 millions d’euros.
- 60 % des sanctions via procédure simplifiée — délais raccourcis (4-6 mois vs 18-24 mois en procédure normale).
- Top 5 manquements sanctionnés en 2025 : cookies (21 sanctions), surveillance des salariés, prospection commerciale sans base légale, défaut de sécurité, durée de conservation excessive.
- Sanctions notables 2025-début 2026 : Free et Free Mobile (42M€), France Travail (5M€), Cdiscount (4M€), Hertz France (1M€).
- Priorités 2026 : IA générative, cookies post-2024, transferts internationaux, données des mineurs, données de santé.
1. Chiffres clés du bilan 2025
| Indicateur | 2024 | 2025 | Évolution |
|---|---|---|---|
| Sanctions prononcées | 87 | 83 | -5 % |
| Montant cumulé | 165 M€ | 486,8 M€ | +195 % |
| Plus grosse sanction individuelle | 50 M€ (Amazon) | 42 M€ (Free/Free Mobile) | — |
| Sanctions via procédure simplifiée | 35 | 50 | +43 % |
| Mises en demeure | 215 | 232 | +8 % |
| Plaintes reçues | 14 500 | 16 200 | +12 % |
| Contrôles effectués | 340 | 358 | +5 % |
Lecture : le nombre de sanctions a légèrement baissé mais le montant cumulé a triplé, tiré par quelques grosses sanctions et l’efficacité de la procédure simplifiée.
2. Sanctions notables 2025-début 2026
Free et Free Mobile (42 M€, janvier 2026)
Manquements à l’obligation de sécurité (article 32) et défaut de coopération. La sanction la plus élevée de l’année.
France Travail (5 M€, janvier 2026)
Défaut de sécurité ayant conduit à l’exfiltration de données de plus de 36 millions de demandeurs d’emploi. Démontre que les organismes publics ne sont pas épargnés.
Cdiscount (4 M€, octobre 2025)
Cookies, durées de conservation, défauts de transparence — plusieurs manquements cumulés.
Hertz France (1 M€, septembre 2025)
Mécanisme de désabonnement multi-étapes (article 21 §2 RGPD) et défauts d’information.
Plusieurs courtiers en données (cumul 8 M€, 2025)
Sanctions massives sur la prospection commerciale sans base légale article 14 (information des personnes dont les données sont collectées indirectement).
Mobius Solutions Ltd (1 M€, décembre 2025)
Sanction directe d’un sous-traitant (Deezer comme client final) — confirmation de la doctrine CNIL de responsabilisation des sous-traitants défaillants.
3. Top manquements sanctionnés en 2025
| Rang | Manquement | Nombre de sanctions | Total cumulé |
|---|---|---|---|
| 1 | Cookies / consentement (article 7 + ePrivacy) | 21 | 32 M€ |
| 2 | Sécurité du traitement (article 32) | 18 | 75 M€ |
| 3 | Prospection commerciale sans base légale | 12 | 18 M€ |
| 4 | Durée de conservation excessive (article 5(1)(e)) | 10 | 9 M€ |
| 5 | Surveillance des salariés disproportionnée | 8 | 12 M€ |
| 6 | Défaut d’information (articles 13-14) | 7 | 4 M€ |
| 7 | Sous-traitance non conforme (article 28) | 4 | 6 M€ |
| 8 | Transferts internationaux non encadrés | 3 | 2 M€ |
4. La procédure simplifiée — révolution silencieuse
La procédure simplifiée (créée par décret en 2022) permet à la CNIL de sanctionner :
- Sans transmission au comité restreint pour les sanctions ≤ 20 000 €
- Avec un délai cible de 6 mois
- Pour les manquements évidents et bien documentés
En 2025, 60 % des sanctions ont emprunté la procédure simplifiée. Cela permet à la CNIL de traiter beaucoup plus de plaintes et d’auto-saisines.
Conséquence pour les responsables : un manquement évident détecté lors d’un contrôle est sanctionné en quelques mois, pas en deux ans. La fenêtre pour se mettre en conformité après notification est très réduite.
5. Priorités CNIL 2026
La CNIL a publié son programme d’action 2026 avec 5 thématiques prioritaires :
IA générative et automatisée
- Conformité du training des modèles avec le RGPD (sources de données, base légale)
- Application de l’article 22 + intersection avec l’AI Act (entrée en application 2 août 2026 pour les systèmes haut risque)
- Avis 28/2024 de l’EDPB sur les modèles d’IA et les données personnelles
Cookies et traceurs
- Application stricte de la doctrine 2022 sur l’équivalence Accepter/Refuser
- Surveillance des cookie walls et dark patterns
- Anticipation du règlement ePrivacy (toujours en discussion)
Transferts internationaux
- Vérification des certifications DPF
- TIA documentées pour pays non adéquats
- Sanctions ciblant l’absence ou la médiocrité des TIA
Données des mineurs
- Application stricte de l’article 8 RGPD (consentement parental sous 15 ans en France)
- Réseaux sociaux, plateformes de jeu, applications éducatives
- Mise en œuvre de la majorité numérique (15 ans, loi 2023)
Données de santé
- Conformité HDS systématique
- Articulation avec EDS (Espace de Données de Santé européen)
- Protection face à la fuite des données de santé (cas Dedalus continue d’influencer)
6. Tendances structurelles
Sanctions directes des sous-traitants
Confirmation de la doctrine : un sous-traitant défaillant peut être sanctionné directement, indépendamment de la responsabilité du responsable. Article 28 RGPD + arrêt CJUE C-340/21 (Inspektor v Inspektorata, 14 décembre 2023) appliqués.
Mise en cause de la responsabilité personnelle des dirigeants
La CNIL n’a pas le pouvoir de sanctionner pénalement les dirigeants (contrairement au PFPDT en Suisse), mais elle peut les nommer dans ses décisions, ce qui crée une pression réputationnelle.
Coopération inter-autorités
Augmentation des affaires transfrontalières traitées via la coopération article 60 RGPD. Pour les grandes plateformes, l’autorité chef de file (souvent Irlande) reste primaire, mais la CNIL est concernée DPA active dans la majorité des cas EU.
7. Comment se préparer
Pour une organisation française en 2026, les priorités opérationnelles devraient être :
- Audit des bandeaux cookies — alignement strict sur la doctrine CNIL 2022
- Mise à jour des AIPD pour les traitements IA et automatisés
- Vérification des certifications DPF des sous-traitants US
- Conformité hébergement HDS si traitement de données de santé
- Procédure renforcée pour les données des mineurs si plateforme accessible aux moins de 15 ans
- Documentation TIA pour tout transfert vers pays non adéquat
- Audit des sous-traitants avec mise à jour annuelle des DPA
8. Préparation à un contrôle CNIL
La probabilité d’un contrôle augmente avec l’activité de la CNIL. Préparation recommandée :
- Registre des traitements complet et accessible en < 24h
- Politique de confidentialité à jour
- AIPD réalisées et signées pour traitements à risque
- DPA signés avec tous les sous-traitants
- Procédure de notification de violation testée
- Formation annuelle du personnel documentée
Voir notre guide contrôle CNIL : comment se préparer.
9. Outillage
Legiscope maintient automatiquement le dossier de conformité exportable en cas de demande CNIL : registre, AIPD, DPA, journal des incidents, preuves de consentement.
Pour les approfondissements connexes : sanctions RGPD 2025 — priorités CNIL, bandeau cookies CNIL, contrôle CNIL : comment se préparer, exemples de formulations de consentement RGPD.
Conclusion
2025 confirme la maturité de l’application RGPD en France : volume soutenu de sanctions, montants importants, procédure simplifiée efficace. 2026 sera marquée par l’IA générative et l’application de l’AI Act, mais les fondamentaux (cookies, sécurité, prospection, sous-traitance) restent les principaux générateurs de sanctions.
FAQ
Combien de sanctions la CNIL a-t-elle prononcées en 2025 ?
83 sanctions pour un cumul de 486,8 millions d’euros — l’une des années les plus actives de son histoire.
Qu’est-ce que la procédure simplifiée CNIL ?
Une procédure créée en 2022 permettant à la CNIL de sanctionner rapidement (4-6 mois) des manquements évidents, sans transmission au comité restreint pour les sanctions ≤ 20 000 €. 60 % des sanctions 2025 ont emprunté cette procédure.
Quelles sont les priorités CNIL pour 2026 ?
Cinq thématiques : IA générative, cookies et traceurs, transferts internationaux post-Schrems II, données des mineurs, données de santé.
Quelle est la plus grosse sanction CNIL en 2025-2026 ?
Free et Free Mobile : 42 millions d’euros en janvier 2026 pour manquements à la sécurité (article 32) et défaut de coopération.
La CNIL peut-elle sanctionner directement un sous-traitant ?
Oui — la sanction Mobius Solutions Ltd (1 M€, décembre 2025) en est l’illustration. L’article 28 RGPD et l’arrêt CJUE C-340/21 (décembre 2023) confirment cette responsabilité directe.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope