La CNIL a infligé 83 sanctions pour un total de 487 millions d’euros en 2025, un niveau sans précédent dans l’histoire du régulateur français. Google, Free Mobile et France Travail figurent parmi les cibles les plus exposées. En Europe, les amendes prononcées depuis 2018 dépassent désormais 7,1 milliards d’euros. Analyse des décisions, des secteurs ciblés et des priorités 2026 d’une autorité qui met la cybersécurité au centre de son action.
CNIL 2025 : une année de sanctions record
Jamais la Commission Nationale de l’Informatique et des Libertés n’avait prononcé autant de sanctions en un seul exercice. Le bilan 2025 fait état de 323 enquêtes menées, de 259 mesures correctives prononcées et de 83 sanctions financières pour un cumul de 487 millions d’euros. Par comparaison, le total annuel des années précédentes oscillait rarement au-delà de 100 millions d’euros hors cas exceptionnels.
La CNIL a également enregistré 20 150 plaintes en 2025, soit une hausse de 10 % sur un an et un nouveau record absolu. Parmi ces plaintes, environ 1 900 portaient directement sur des violations de données personnelles. Ce volume reflète une prise de conscience accrue des particuliers et des associations de défense des droits, mais aussi l’effet d’amplification des médias chaque fois qu’une fuite massive est révélée.
Marie-Laure Denis, présidente de la CNIL depuis février 2019 et reconduite pour un nouveau mandat en janvier 2024, a confirmé l’orientation pour 2026 dans un entretien accordé au journal Le Monde : « Compte tenu du nombre croissant de violations de données, j’ai décidé qu’en 2026, la moitié de nos actions répressives — inspections, sanctions, mises en demeure — se concentrerait sur les défaillances liées à la cybersécurité. » Cette déclaration marque un pivot stratégique clair : la conformité aux règles sur les cookies et la surveillance des salariés reste dans le radar, mais la protection technique des données s’impose comme la première priorité opérationnelle.
Le bilan annuel de la CNIL lui-même résume l’ampleur du tournant : « 2025 a été marquée par une très forte hausse des plaintes reçues, un montant total d’amendes sans précédent, mais aussi un nombre record de notifications de violations de données. » Ces trois records simultanés traduisent une réalité systémique : les menaces se multiplient, les entreprises notifient davantage (contraintes par l’article 33 du RGPD), et les particuliers portent plainte plus souvent.
La sanction Google de 325 M€ : Gmail, consentement et comptes utilisateurs
La décision la plus lourde de l’année 2025 vise Google. La formation restreinte de la CNIL a prononcé le 1er septembre 2025 deux amendes complémentaires qui atteignent ensemble 325 millions d’euros : 200 millions d’euros à l’encontre de Google LLC (entité américaine) et 125 millions d’euros contre Google Ireland Limited (entité européenne). Les deux griefs retenus sont l’affichage de publicités dans l’interface Gmail sans recueil de consentement préalable valide, et la collecte d’un consentement non-conforme lors de la création de comptes utilisateurs.
Sur le fond, la CNIL a estimé que Google ne proposait pas aux utilisateurs un choix réel et éclairé au moment de l’inscription. Les cases pré-cochées, la formulation opaque des finalités publicitaires et l’absence d’une option de refus aussi simple que l’acceptation ont été jugées contraires aux articles 4(11) et 7 du RGPD, qui définissent les conditions d’un consentement valide. Le fait que la CNIL ait simultanément sanctionné l’entité américaine et l’entité irlandaise traduit une coordination avec la Commission irlandaise de protection des données (DPC), qui supervise habituellement les grandes plateformes domiciliées en Irlande.
Pour Google, cette amende s’ajoute à une sanction de 50 millions d’euros que la CNIL avait déjà prononcée en 2019, faisant du groupe Alphabet l’une des entreprises les plus fréquemment ciblées par le régulateur français. Cette récidive a probablement pesé dans le calibrage du montant final. Le groupe dispose d’un délai de deux mois pour contester la décision devant le Conseil d’État.
Les types de violations les plus sanctionnés en 2025
Le bilan 2025 de la CNIL fait apparaître trois grandes catégories de manquements récurrents, responsables de l’essentiel des sanctions en volume et en montant.
La sécurité des données (article 32 du RGPD) concentre près d’un tiers des contrôles et environ 30 % des sanctions prononcées. L’article 32 impose aux responsables de traitement de mettre en place des « mesures techniques et organisationnelles appropriées » pour garantir la confidentialité, l’intégrité et la résilience des systèmes. Dans la pratique, les manquements constatés incluent l’absence de chiffrement pour les données sensibles, des politiques de mots de passe insuffisantes, l’absence de journalisation des accès et le défaut de plans de réponse à incident.
Les cookies et traceurs restent le deuxième motif de sanction. Malgré plusieurs années de campagnes de mise en conformité et des lignes directrices publiées dès 2021, un nombre important de sites continuent de déposer des cookies publicitaires avant d’avoir recueilli un consentement explicite. La CNIL a durci ses contrôles sur les dark patterns, ces interfaces conçues pour pousser l’internaute à accepter sans comprendre.
La surveillance des salariés constitue la troisième catégorie significative. Le développement du télétravail a conduit de nombreuses entreprises à déployer des outils de suivi de l’activité (captures d’écran automatiques, keyloggers, géolocalisation permanente) sans base légale ni information des personnes concernées. La CNIL a rappelé que l’intérêt légitime de l’employeur ne peut justifier à lui seul une surveillance continue et disproportionnée.
France Travail : 5 M€ pour insuffisance de sécurité
Le 22 janvier 2026, la CNIL a prononcé une amende de 5 millions d’euros contre France Travail, l’opérateur public chargé de l’accompagnement des demandeurs d’emploi. La décision sanctionne des manquements à la sécurité des données des demandeurs d’emploi, en application de l’article 32 du RGPD.
Cette sanction préventive, fondée sur l’insuffisance du niveau de sécurité et non sur une fuite avérée de données, constitue un signal fort à destination des organismes publics, souvent en retard sur leurs homologues privés en matière de maturité cyber. Le secteur public représente environ un cas de violation de données sur cinq notifié à la CNIL chaque année. La pénurie de ressources, la dette technique des systèmes d’information et une culture du risque insuffisante dans certaines administrations expliquent cette surreprésentation.
La CNIL a explicitement annoncé que les organismes publics feraient l’objet d’une attention accrue en 2026. La distinction entre Free Mobile (privé, 27 M€) et France Travail (public, 5 M€) illustre que le régulateur module ses sanctions en fonction du chiffre d’affaires et de la capacité financière : l’objectif est la dissuasion, pas l’asphyxie budgétaire d’un service public. Notre analyse détaillée de la sanction CNIL Free de 42 M€ montre comment une fuite d’IBAN sur 24 millions de contrats a été instruite et sanctionnée sur 15 mois.
Bilan historique des sanctions de la CNIL (2020-2025)
| Année | Sanctions prononcées | Total (M€) | Plus grosse amende | Entreprise ciblée |
|---|---|---|---|---|
| 2020 | 14 | 138 | 100 M€ | Google LLC |
| 2021 | 18 | 214 | 150 M€ | Facebook France |
| 2022 | 21 | 101 | 60 M€ | Microsoft Ireland |
| 2023 | 42 | 89 | 40 M€ | TotalEnergies |
| 2024 | 49 | 64 | 32 M€ | Doctissimo |
| 2025 | 83 | 487 | 325 M€ | Google LLC + Ireland |
Sources : rapports annuels de la CNIL, bilan des sanctions 2025. Les montants des années 2020-2024 sont donnés à titre indicatif de tendance ; certaines amendes ont fait l’objet de recours contentieux.
7,1 milliards d’euros : le bilan européen du RGPD depuis 2018
À l’échelle de l’Union européenne, les autorités de protection des données ont infligé depuis l’entrée en application du RGPD le 25 mai 2018 un total d’amendes dépassant 7,1 milliards d’euros. Plus de 60 % de ce montant a été prononcé depuis janvier 2023, ce qui confirme une accélération nette de l’enforcement ces trois dernières années. En 2024 et en 2025, les régulateurs européens ont infligé chaque année environ 1,2 milliard d’euros d’amendes, maintenant un rythme soutenu et prévisible.
L’Europe enregistre par ailleurs 443 notifications de violations de données par jour, en hausse de 22 % sur un an. Cette dynamique traduit à la fois la multiplication des attaques (ransomware, phishing ciblé, accès non autorisés) et une meilleure discipline dans la déclaration des incidents, les entreprises ayant intégré l’obligation de notification dans les 72 heures prévue par l’article 33 du RGPD. Ce volume de notifications alimente directement le pipeline des enquêtes : chaque notification est un dossier potentiel pour le régulateur.
Depuis 2018, les régulateurs européens ont documenté plus de 2 800 amendes, avec une amende moyenne de 2,3 millions d’euros selon le cabinet d’avocats CMS dans son rapport annuel sur l’enforcement RGPD. Ce montant moyen masque une forte dispersion : quelques dizaines de décisions géantes (Meta, Amazon, LinkedIn, Google) tirent la moyenne vers le haut, tandis que la majorité des sanctions restent inférieures à 100 000 euros et visent des PME ou des organismes publics. Les 149 actions d’enforcement enregistrées en Europe pour le seul premier semestre 2026 suggèrent que le rythme annuel ne fléchira pas.
Top 10 des plus grandes amendes RGPD de l’histoire
| Rang | Entreprise | Amende | Pays (DPA) | Année | Motif principal |
|---|---|---|---|---|---|
| 1 | Meta / Facebook | 1 200 M€ | Irlande | 2023 | Transfert illicite de données vers les États-Unis |
| 2 | Amazon Europe | 746 M€ | Luxembourg | 2021 | Traitement sans base légale valide |
| 3 | Meta Platforms | 405 M€ | Irlande | 2022 | Données de mineurs exposées sur Instagram |
| 4 | Meta Ireland | 390 M€ | Irlande | 2023 | Traitement à des fins publicitaires sans base légale |
| 5 | TikTok | 345 M€ | Irlande | 2023 | Données d’enfants et paramètres de confidentialité |
| 6 | Google LLC + Ireland | 325 M€ | France | 2025 | Publicités Gmail sans consentement valide |
| 7 | LinkedIn Ireland | 310 M€ | Irlande | 2024 | Ciblage publicitaire sans base légale |
| 8 | WhatsApp Ireland | 225 M€ | Irlande | 2021 | Transparence insuffisante sur les traitements |
| 9 | Enel Energia | 79,1 M€ | Italie | 2024 | Appels commerciaux sans consentement |
| 10 | Clearview AI | 30,5 M€ | Pays-Bas | 2024 | Collecte illicite de données biométriques |
L’Irlande, hub des amendes record : 4 milliards d’euros cumulés
L’Irlande détient à elle seule un total cumulé de 4,04 milliards d’euros d’amendes RGPD depuis 2018, loin devant tous les autres États membres. Cette domination s’explique par la géographie fiscale et réglementaire de l’Europe : Meta, Google, TikTok, LinkedIn et la plupart des grandes plateformes numériques américaines ont établi leur siège social européen à Dublin. Leur autorité de contrôle compétente est donc la Data Protection Commission (DPC) irlandaise, dont les décisions peuvent concerner l’ensemble des résidents de l’UE via le mécanisme de guichet unique prévu à l’article 56 du RGPD.
Ce guichet unique a longtemps été critiqué pour sa lenteur. Plusieurs procédures contre Meta ont ainsi duré plus de quatre ans. La Commission européenne a exercé des pressions croissantes sur la DPC, et le mécanisme de cohérence entre autorités nationales a permis aux autres régulateurs de peser sur les décisions finales. La condamnation de Meta à 1,2 milliard d’euros en mai 2023 pour transfert illicite de données vers les États-Unis a constitué un tournant : la DPC a démontré qu’elle pouvait prononcer des amendes conformes aux attentes du Comité européen de la protection des données (CEPD).
L’Allemagne (environ 45,9 millions d’euros cumulés), la France (dépassant 200 millions d’euros depuis 2019 hors 2025), l’Espagne et l’Italie complètent le classement des pays les plus actifs. Le déséquilibre entre l’Irlande et le reste de l’Europe reste frappant, et la réforme du mécanisme de guichet unique fait partie des discussions au niveau des institutions européennes. Le CEPD, présidé depuis 2023 par Anu Talus (responsable de la protection des données finlandaise), pousse pour une harmonisation plus forte des délais d’instruction entre DPA.
L’IA générative dans le viseur du RGPD en 2026
La montée en puissance de l’intelligence artificielle générative constitue le nouveau front de l’enforcement RGPD. La CNIL a lancé dès 2024 des travaux d’instruction sur les pratiques des principaux fournisseurs de modèles de langage, portant notamment sur la base légale du traitement des données d’entraînement, le droit d’opposition des personnes dont les données ont été collectées sur internet, et la conservation des conversations saisies dans les interfaces de dialogue.
Le CEPD a publié en 2025 des lignes directrices précisant que le RGPD s’applique à toute phase du cycle de vie d’un système d’IA qui implique un traitement de données personnelles : collecte des données d’entraînement, inférence, génération de réponses, conservation des logs de conversation. Les amendes potentielles restent celles du RGPD, soit jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Pour une grande plateforme dont le revenu dépasse 50 milliards d’euros, 4 % représente 2 milliards de dollars, un montant qui dépasse l’amende record actuelle.
L’articulation entre le RGPD et l’AI Act européen (entré progressivement en application à partir d’août 2024) crée une complexité réglementaire nouvelle. Une entreprise qui déploie un système d’IA à haut risque dans les ressources humaines doit simultanément respecter les exigences du RGPD sur la base légale, les exigences de l’AI Act sur la transparence et la supervision humaine, et les dispositions du Code du travail. Les régulateurs européens travaillent sur des mécanismes de coordination pour éviter les conflits de compétence, mais les premières décisions majeures dans ce domaine sont attendues avant fin 2026.
NIS2 et DORA : l’arsenal réglementaire européen s’élargit
Le RGPD n’est plus le seul instrument de pression réglementaire en matière de cybersécurité des données. La directive NIS2, dont la transposition dans les États membres devait être achevée en octobre 2024, étend les obligations de sécurité à plus de 18 catégories de secteurs et à des entités de taille intermédiaire qui n’étaient pas couvertes par la directive NIS initiale. Hôpitaux, fournisseurs d’énergie, opérateurs de transport, administrations publiques et prestataires numériques sont désormais soumis à des exigences minimales de gestion des risques cyber et d’obligation de notification des incidents significatifs.
Dans le secteur financier, le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose aux établissements bancaires, aux compagnies d’assurance et aux prestataires de services numériques critiques des tests de résilience, des plans de continuité et une supervision renforcée des prestataires tiers. Notre analyse du bilan DORA : 3 383 incidents TIC dans la finance européenne montre que la première année d’application a mis en lumière l’ampleur des dépendances aux prestataires cloud. La convergence de NIS2, de DORA et du RGPD crée un cadre réglementaire cohérent, mais exigeant pour les équipes de conformité.
Comment se calcule une amende RGPD
Le RGPD distingue deux niveaux de sanctions financières en fonction de la gravité des manquements. Pour les violations les moins graves — défaut de coopération avec le régulateur, absence de tenue de registres, manquements aux règles sur les sous-traitants — le plafond est de 10 millions d’euros ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu. Pour les violations les plus graves — traitement illicite, violation des droits des personnes, transfert illégal hors UE, absence de base légale — le plafond monte à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
Dans la pratique, les régulateurs ne prononcent pas systématiquement des amendes au plafond. Ils pondèrent leur décision selon plusieurs facteurs : la nature et la gravité de la violation, la durée du manquement, le nombre de personnes affectées, la coopération de l’entité pendant l’enquête, les mesures correctives mises en place avant la décision, et l’existence d’antécédents. Pour une multinationale dont le chiffre d’affaires dépasse 50 milliards d’euros, même 1 % de ce montant représente 500 millions d’euros. C’est cette mécanique qui permet de prononcer des amendes à neuf chiffres qui restent proportionnées au volume d’activité des géants du numérique.
Les entreprises oublient souvent que les sanctions financières ne sont pas la seule conséquence possible. Le régulateur peut également ordonner la suspension d’un traitement, l’effacement de données, ou l’interdiction temporaire de traiter certaines catégories d’informations. Pour une plateforme publicitaire ou une entreprise SaaS, une injonction de suspension est souvent plus grave financièrement qu’une amende.
Ce que les entreprises doivent faire maintenant
Face à l’intensification des contrôles, plusieurs mesures prioritaires s’imposent aux responsables de traitement. La CNIL a identifié que près de 80 % des violations majeures examinées auraient pu être évitées par la seule mise en place de l’authentification à plusieurs facteurs (MFA). C’est donc la première action concrète : généraliser le MFA sur tous les comptes qui donnent accès à des données personnelles, en commençant par les comptes administrateurs, les VPN et les interfaces de gestion cloud.
La tenue d’un registre des activités de traitement (RAT) à jour reste une obligation de base souvent négligée, notamment dans les structures ayant évolué rapidement. La cartographie des données permet d’identifier les périmètres à risque, de vérifier que les durées de conservation sont conformes et de s’assurer que chaque traitement repose sur une base légale documentée. En cas de contrôle, l’absence de RAT est systématiquement retenue comme circonstance aggravante.
Le plan de réponse à incident doit être formalisé, testé et connu de toutes les équipes concernées. L’article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la découverte d’une violation. Les entreprises qui ne déclenchent pas ce processus dans les délais s’exposent à une aggravation des sanctions. Lorsque la violation présente un risque élevé pour les personnes, l’article 34 impose en plus d’informer les individus concernés sans délai injustifié. Les failles de sécurité dans les applications web, comme les vulnérabilités IDOR qui ont exposé 31 millions de comptes publics en France, montrent que la surface d’attaque reste trop souvent négligée.
5 prédictions pour l’enforcement RGPD 2026-2027
1. Les premières grandes sanctions liées à l’IA arriveront avant fin 2026. Plusieurs enquêtes ouvertes par des DPA européennes sur des fournisseurs de LLM devraient aboutir à des décisions formelles dans les 12 mois. Les premières amendes se situeront probablement dans la fourchette 20-100 millions d’euros, avec des affaires plus importantes à suivre en 2027 une fois les jurisprudences consolidées.
2. La France restera l’un des trois régulateurs les plus actifs d’Europe. Avec 50 % de ses contrôles 2026 consacrés à la cybersécurité, la CNIL maintiendra un rythme de sanctions élevé. La forte croissance des plaintes (+ 10 % par an) alimente un pipeline d’enquêtes qui ne se tarira pas à court terme.
3. Les PME et sous-traitants deviendront une cible prioritaire. Après les dossiers emblématiques sur les grandes plateformes, les régulateurs descendront dans la chaîne de valeur. Les sous-traitants qui traitent des données sensibles pour le compte de grandes entreprises mais dont le niveau de sécurité est insuffisant sont particulièrement exposés, d’autant que l’article 28 du RGPD engage leur responsabilité directe.
4. Le total des amendes RGPD européennes franchira 10 milliards d’euros d’ici fin 2026. Au rythme actuel de 1,2 milliard par an et compte tenu de plusieurs affaires en cours contre de grandes plateformes, la barre symbolique devrait être atteinte dans les 18 prochains mois.
5. Le mécanisme de guichet unique sera réformé. La pression exercée par les DPA non-irlandaises et le Parlement européen pour accélérer les procédures contre les grandes plateformes devrait conduire à une révision du fonctionnement de l’article 56 du RGPD, possiblement via un règlement délégué de la Commission européenne.
FAQ : sanctions CNIL et amendes RGPD
Quelle est la plus grosse amende RGPD jamais prononcée ?
L’amende la plus élevée de l’histoire du RGPD est celle de 1,2 milliard d’euros infligée à Meta (Facebook) par la DPC irlandaise en mai 2023, pour transfert illicite de données personnelles d’utilisateurs européens vers les États-Unis sans garanties suffisantes.
Combien la CNIL a-t-elle sanctionné d’entreprises en 2025 ?
La CNIL a prononcé 83 sanctions en 2025 pour un total de 487 millions d’euros, un record absolu depuis sa création en 1978. La décision la plus lourde de l’année vise Google, condamné à 325 M€ pour des publicités Gmail sans consentement valide.
Une PME peut-elle recevoir une amende RGPD significative ?
Oui. Le plafond de 2 % ou 4 % du chiffre d’affaires mondial s’applique à toutes les entités. Pour une PME réalisant 5 millions d’euros de chiffre d’affaires, une violation grave peut théoriquement entraîner une amende allant jusqu’à 200 000 euros. La CNIL dispose d’une procédure simplifiée pour prononcer rapidement des sanctions jusqu’à 20 000 euros pour les manquements de faible gravité.
Quelles sont les priorités de contrôle de la CNIL en 2026 ?
La CNIL a annoncé que 50 % de ses actions de contrôle et de sanction en 2026 se concentreront sur les défaillances liées à la cybersécurité. Les secteurs prioritaires incluent la santé, les collectivités territoriales et les plateformes en ligne. Les cookies et la surveillance des salariés restent dans le périmètre, mais avec une intensité moindre.
Pourquoi l’Irlande concentre-t-elle autant d’amendes RGPD ?
L’Irlande est le siège européen de la plupart des grandes plateformes numériques américaines (Meta, Google, TikTok, LinkedIn). En vertu du mécanisme de guichet unique de l’article 56 du RGPD, la DPC irlandaise est l’autorité de contrôle compétente pour ces entreprises à l’échelle de toute l’UE, ce qui concentre les affaires les plus importantes sur une seule juridiction.
Le RGPD s’applique-t-il aux systèmes d’intelligence artificielle ?
Oui, dès lors que le système traite des données personnelles, le RGPD s’applique à toutes les phases : collecte des données d’entraînement, génération de réponses, conservation des conversations. L’AI Act européen ajoute des exigences complémentaires sur la transparence et la supervision humaine pour les systèmes à haut risque. Les deux règlements coexistent et se cumulent.
Combien de temps dispose-t-on pour notifier une violation de données à la CNIL ?
L’article 33 du RGPD impose une notification à l’autorité de contrôle dans un délai de 72 heures à compter du moment où l’entreprise a pris connaissance de la violation. Si ce délai ne peut pas être respecté, une première notification partielle doit être envoyée avec les informations disponibles, complétée ultérieurement.
Quelle différence entre une mise en demeure et une sanction de la CNIL ?
Une mise en demeure est un avertissement formel qui impose à l’entité de corriger ses manquements dans un délai fixé, sans amende immédiate. Si l’entité ne se met pas en conformité dans le délai imparti, la CNIL peut alors ouvrir une procédure de sanction susceptible d’aboutir à une amende. En 2025, la CNIL a prononcé 259 mesures correctives, dont certaines étaient des mises en demeure, en plus de ses 83 sanctions financières.
Couverture connexe
- Sanction CNIL Free : 42 M€, 24 millions de comptes exposés — l’amende télécom record en France décryptée
- DORA : 3 383 incidents TIC dans la finance européenne — le nouveau cadre de résilience opérationnelle
- Faille IDOR : 31 millions de comptes publics exposés — les vulnérabilités dans les services de l’État
- Fuite Cegedim : 15 millions de patients exposés — les données de santé en première ligne
- ANSSI : fin des certifications sans PQC dès 2027 — la France se prépare à l’ère post-quantique
- Violations de données : comment elles se produisent — notre guide de référence sur les fuites de données
Sources : Bilan des sanctions CNIL 2025 — CNIL.fr — CEPD (Comité européen de la protection des données) — GDPR.eu : base de données des amendes — Commission européenne : protection des données — NOYB (None Of Your Business)
