{"id":218,"date":"2026-06-18T04:35:26","date_gmt":"2026-06-18T04:35:26","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/18\/cnil-amendes-rgpd-record-2025-2026\/"},"modified":"2026-06-18T04:37:02","modified_gmt":"2026-06-18T04:37:02","slug":"cnil-amendes-rgpd-record-2025-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/2026\/06\/18\/cnil-amendes-rgpd-record-2025-2026\/","title":{"rendered":"CNIL 2025 : 487 M\u20ac d’Amendes RGPD, Google et Free \u00c9pingl\u00e9s [2026]"},"content":{"rendered":"\n

La CNIL a inflig\u00e9 83 sanctions<\/strong> pour un total de 487 millions d’euros<\/strong> en 2025, un niveau sans pr\u00e9c\u00e9dent dans l’histoire du r\u00e9gulateur fran\u00e7ais. Google, Free Mobile et France Travail figurent parmi les cibles les plus expos\u00e9es. En Europe, les amendes prononc\u00e9es depuis 2018 d\u00e9passent d\u00e9sormais 7,1 milliards d’euros<\/strong>. Analyse des d\u00e9cisions, des secteurs cibl\u00e9s et des priorit\u00e9s 2026 d’une autorit\u00e9 qui met la cybers\u00e9curit\u00e9 au centre de son action.<\/p>\n\n\n\n

CNIL 2025 : une ann\u00e9e de sanctions record<\/h2>\n\n\n\n

Jamais la Commission Nationale de l’Informatique et des Libert\u00e9s n’avait prononc\u00e9 autant de sanctions en un seul exercice. Le bilan 2025 fait \u00e9tat de 323 enqu\u00eates<\/strong> men\u00e9es, de 259 mesures correctives<\/strong> prononc\u00e9es et de 83 sanctions<\/strong> financi\u00e8res pour un cumul de 487 millions d’euros<\/strong>. Par comparaison, le total annuel des ann\u00e9es pr\u00e9c\u00e9dentes oscillait rarement au-del\u00e0 de 100 millions d’euros hors cas exceptionnels.<\/p>\n\n\n\n

La CNIL a \u00e9galement enregistr\u00e9 20 150 plaintes<\/strong> en 2025, soit une hausse de 10 %<\/strong> sur un an et un nouveau record absolu. Parmi ces plaintes, environ 1 900<\/strong> portaient directement sur des violations de donn\u00e9es personnelles. Ce volume refl\u00e8te une prise de conscience accrue des particuliers et des associations de d\u00e9fense des droits, mais aussi l’effet d’amplification des m\u00e9dias chaque fois qu’une fuite massive est r\u00e9v\u00e9l\u00e9e.<\/p>\n\n\n\n

Marie-Laure Denis, pr\u00e9sidente de la CNIL depuis f\u00e9vrier 2019 et reconduite pour un nouveau mandat en janvier 2024, a confirm\u00e9 l’orientation pour 2026 dans un entretien accord\u00e9 au journal Le Monde<\/em> : \u00ab Compte tenu du nombre croissant de violations de donn\u00e9es, j’ai d\u00e9cid\u00e9 qu’en 2026, la moiti\u00e9 de nos actions r\u00e9pressives \u2014 inspections, sanctions, mises en demeure \u2014 se concentrerait sur les d\u00e9faillances li\u00e9es \u00e0 la cybers\u00e9curit\u00e9. \u00bb<\/em> Cette d\u00e9claration marque un pivot strat\u00e9gique clair : la conformit\u00e9 aux r\u00e8gles sur les cookies et la surveillance des salari\u00e9s reste dans le radar, mais la protection technique des donn\u00e9es s’impose comme la premi\u00e8re priorit\u00e9 op\u00e9rationnelle.<\/p>\n\n\n\n

Le bilan annuel de la CNIL lui-m\u00eame r\u00e9sume l’ampleur du tournant : \u00ab 2025 a \u00e9t\u00e9 marqu\u00e9e par une tr\u00e8s forte hausse des plaintes re\u00e7ues, un montant total d’amendes sans pr\u00e9c\u00e9dent, mais aussi un nombre record de notifications de violations de donn\u00e9es. \u00bb<\/em> Ces trois records simultan\u00e9s traduisent une r\u00e9alit\u00e9 syst\u00e9mique : les menaces se multiplient, les entreprises notifient davantage (contraintes par l’article 33 du RGPD), et les particuliers portent plainte plus souvent.<\/p>\n\n\n\n

La sanction Google de 325 M\u20ac : Gmail, consentement et comptes utilisateurs<\/h2>\n\n\n\n

La d\u00e9cision la plus lourde de l’ann\u00e9e 2025 vise Google. La formation restreinte de la CNIL a prononc\u00e9 le 1er septembre 2025<\/strong> deux amendes compl\u00e9mentaires qui atteignent ensemble 325 millions d’euros<\/strong> : 200 millions d’euros<\/strong> \u00e0 l’encontre de Google LLC (entit\u00e9 am\u00e9ricaine) et 125 millions d’euros<\/strong> contre Google Ireland Limited (entit\u00e9 europ\u00e9enne). Les deux griefs retenus sont l’affichage de publicit\u00e9s dans l’interface Gmail sans recueil de consentement pr\u00e9alable valide, et la collecte d’un consentement non-conforme lors de la cr\u00e9ation de comptes utilisateurs.<\/p>\n\n\n\n

Sur le fond, la CNIL a estim\u00e9 que Google ne proposait pas aux utilisateurs un choix r\u00e9el et \u00e9clair\u00e9 au moment de l’inscription. Les cases pr\u00e9-coch\u00e9es, la formulation opaque des finalit\u00e9s publicitaires et l’absence d’une option de refus aussi simple que l’acceptation ont \u00e9t\u00e9 jug\u00e9es contraires aux articles 4(11) et 7 du RGPD, qui d\u00e9finissent les conditions d’un consentement valide. Le fait que la CNIL ait simultan\u00e9ment sanctionn\u00e9 l’entit\u00e9 am\u00e9ricaine et l’entit\u00e9 irlandaise traduit une coordination avec la Commission irlandaise de protection des donn\u00e9es (DPC), qui supervise habituellement les grandes plateformes domicili\u00e9es en Irlande.<\/p>\n\n\n\n

Pour Google, cette amende s’ajoute \u00e0 une sanction de 50 millions d’euros<\/strong> que la CNIL avait d\u00e9j\u00e0 prononc\u00e9e en 2019, faisant du groupe Alphabet l’une des entreprises les plus fr\u00e9quemment cibl\u00e9es par le r\u00e9gulateur fran\u00e7ais. Cette r\u00e9cidive a probablement pes\u00e9 dans le calibrage du montant final. Le groupe dispose d’un d\u00e9lai de deux mois pour contester la d\u00e9cision devant le Conseil d’\u00c9tat.<\/p>\n\n\n\n

Les types de violations les plus sanctionn\u00e9s en 2025<\/h2>\n\n\n\n

Le bilan 2025 de la CNIL fait appara\u00eetre trois grandes cat\u00e9gories de manquements r\u00e9currents, responsables de l’essentiel des sanctions en volume et en montant.<\/p>\n\n\n\n

La s\u00e9curit\u00e9 des donn\u00e9es<\/strong> (article 32 du RGPD) concentre pr\u00e8s d’un tiers des contr\u00f4les et environ 30 % des sanctions prononc\u00e9es. L’article 32 impose aux responsables de traitement de mettre en place des \u00ab mesures techniques et organisationnelles appropri\u00e9es \u00bb pour garantir la confidentialit\u00e9, l’int\u00e9grit\u00e9 et la r\u00e9silience des syst\u00e8mes. Dans la pratique, les manquements constat\u00e9s incluent l’absence de chiffrement pour les donn\u00e9es sensibles, des politiques de mots de passe insuffisantes, l’absence de journalisation des acc\u00e8s et le d\u00e9faut de plans de r\u00e9ponse \u00e0 incident.<\/p>\n\n\n\n

Les cookies et traceurs<\/strong> restent le deuxi\u00e8me motif de sanction. Malgr\u00e9 plusieurs ann\u00e9es de campagnes de mise en conformit\u00e9 et des lignes directrices publi\u00e9es d\u00e8s 2021, un nombre important de sites continuent de d\u00e9poser des cookies publicitaires avant d’avoir recueilli un consentement explicite. La CNIL a durci ses contr\u00f4les sur les dark patterns<\/em>, ces interfaces con\u00e7ues pour pousser l’internaute \u00e0 accepter sans comprendre.<\/p>\n\n\n\n

La surveillance des salari\u00e9s<\/strong> constitue la troisi\u00e8me cat\u00e9gorie significative. Le d\u00e9veloppement du t\u00e9l\u00e9travail a conduit de nombreuses entreprises \u00e0 d\u00e9ployer des outils de suivi de l’activit\u00e9 (captures d’\u00e9cran automatiques, keyloggers, g\u00e9olocalisation permanente) sans base l\u00e9gale ni information des personnes concern\u00e9es. La CNIL a rappel\u00e9 que l’int\u00e9r\u00eat l\u00e9gitime de l’employeur ne peut justifier \u00e0 lui seul une surveillance continue et disproportionn\u00e9e.<\/p>\n\n\n\n

France Travail : 5 M\u20ac pour insuffisance de s\u00e9curit\u00e9<\/h2>\n\n\n\n

Le 22 janvier 2026<\/strong>, la CNIL a prononc\u00e9 une amende de 5 millions d’euros<\/strong> contre France Travail, l’op\u00e9rateur public charg\u00e9 de l’accompagnement des demandeurs d’emploi. La d\u00e9cision sanctionne des manquements \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es des demandeurs d’emploi<\/strong>, en application de l’article 32 du RGPD.<\/p>\n\n\n\n

Cette sanction pr\u00e9ventive, fond\u00e9e sur l’insuffisance du niveau de s\u00e9curit\u00e9 et non sur une fuite av\u00e9r\u00e9e de donn\u00e9es, constitue un signal fort \u00e0 destination des organismes publics, souvent en retard sur leurs homologues priv\u00e9s en mati\u00e8re de maturit\u00e9 cyber. Le secteur public repr\u00e9sente environ un cas de violation de donn\u00e9es sur cinq<\/strong> notifi\u00e9 \u00e0 la CNIL chaque ann\u00e9e. La p\u00e9nurie de ressources, la dette technique des syst\u00e8mes d’information et une culture du risque insuffisante dans certaines administrations expliquent cette surrepr\u00e9sentation.<\/p>\n\n\n\n

La CNIL a explicitement annonc\u00e9 que les organismes publics feraient l’objet d’une attention accrue en 2026. La distinction entre Free Mobile (priv\u00e9, 27 M\u20ac) et France Travail (public, 5 M\u20ac) illustre que le r\u00e9gulateur module ses sanctions en fonction du chiffre d’affaires et de la capacit\u00e9 financi\u00e8re : l’objectif est la dissuasion, pas l’asphyxie budg\u00e9taire d’un service public. Notre analyse d\u00e9taill\u00e9e de la sanction CNIL Free de 42 M\u20ac<\/a> montre comment une fuite d’IBAN sur 24 millions de contrats a \u00e9t\u00e9 instruite et sanctionn\u00e9e sur 15 mois.<\/p>\n\n\n\n

Bilan historique des sanctions de la CNIL (2020-2025)<\/h2>\n\n\n\n
Ann\u00e9e<\/th>Sanctions prononc\u00e9es<\/th>Total (M\u20ac)<\/th>Plus grosse amende<\/th>Entreprise cibl\u00e9e<\/th><\/tr><\/thead>
2020<\/td>14<\/td>138<\/td>100 M\u20ac<\/td>Google LLC<\/td><\/tr>
2021<\/td>18<\/td>214<\/td>150 M\u20ac<\/td>Facebook France<\/td><\/tr>
2022<\/td>21<\/td>101<\/td>60 M\u20ac<\/td>Microsoft Ireland<\/td><\/tr>
2023<\/td>42<\/td>89<\/td>40 M\u20ac<\/td>TotalEnergies<\/td><\/tr>
2024<\/td>49<\/td>64<\/td>32 M\u20ac<\/td>Doctissimo<\/td><\/tr>
2025<\/td>83<\/td>487<\/td>325 M\u20ac<\/td>Google LLC + Ireland<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Sources : rapports annuels de la CNIL, bilan des sanctions 2025. Les montants des ann\u00e9es 2020-2024 sont donn\u00e9s \u00e0 titre indicatif de tendance ; certaines amendes ont fait l’objet de recours contentieux.<\/em><\/p>\n\n\n\n

7,1 milliards d’euros : le bilan europ\u00e9en du RGPD depuis 2018<\/h2>\n\n\n\n

\u00c0 l’\u00e9chelle de l’Union europ\u00e9enne, les autorit\u00e9s de protection des donn\u00e9es ont inflig\u00e9 depuis l’entr\u00e9e en application du RGPD le 25 mai 2018 un total d’amendes d\u00e9passant 7,1 milliards d’euros<\/strong>. Plus de 60 % de ce montant<\/strong> a \u00e9t\u00e9 prononc\u00e9 depuis janvier 2023, ce qui confirme une acc\u00e9l\u00e9ration nette de l’enforcement ces trois derni\u00e8res ann\u00e9es. En 2024 et en 2025, les r\u00e9gulateurs europ\u00e9ens ont inflig\u00e9 chaque ann\u00e9e environ 1,2 milliard d’euros<\/strong> d’amendes, maintenant un rythme soutenu et pr\u00e9visible.<\/p>\n\n\n\n

L’Europe enregistre par ailleurs 443 notifications de violations de donn\u00e9es par jour<\/strong>, en hausse de 22 %<\/strong> sur un an. Cette dynamique traduit \u00e0 la fois la multiplication des attaques (ransomware, phishing cibl\u00e9, acc\u00e8s non autoris\u00e9s) et une meilleure discipline dans la d\u00e9claration des incidents, les entreprises ayant int\u00e9gr\u00e9 l’obligation de notification dans les 72 heures pr\u00e9vue par l’article 33 du RGPD. Ce volume de notifications alimente directement le pipeline des enqu\u00eates : chaque notification est un dossier potentiel pour le r\u00e9gulateur.<\/p>\n\n\n\n

Depuis 2018, les r\u00e9gulateurs europ\u00e9ens ont document\u00e9 plus de 2 800 amendes<\/strong>, avec une amende moyenne de 2,3 millions d’euros<\/strong> selon le cabinet d’avocats CMS dans son rapport annuel sur l’enforcement RGPD. Ce montant moyen masque une forte dispersion : quelques dizaines de d\u00e9cisions g\u00e9antes (Meta, Amazon, LinkedIn, Google) tirent la moyenne vers le haut, tandis que la majorit\u00e9 des sanctions restent inf\u00e9rieures \u00e0 100 000 euros et visent des PME ou des organismes publics. Les 149 actions d’enforcement<\/strong> enregistr\u00e9es en Europe pour le seul premier semestre 2026 sugg\u00e8rent que le rythme annuel ne fl\u00e9chira pas.<\/p>\n\n\n\n

Top 10 des plus grandes amendes RGPD de l’histoire<\/h2>\n\n\n\n
Rang<\/th>Entreprise<\/th>Amende<\/th>Pays (DPA)<\/th>Ann\u00e9e<\/th>Motif principal<\/th><\/tr><\/thead>
1<\/td>Meta \/ Facebook<\/td>1 200 M\u20ac<\/td>Irlande<\/td>2023<\/td>Transfert illicite de donn\u00e9es vers les \u00c9tats-Unis<\/td><\/tr>
2<\/td>Amazon Europe<\/td>746 M\u20ac<\/td>Luxembourg<\/td>2021<\/td>Traitement sans base l\u00e9gale valide<\/td><\/tr>
3<\/td>Meta Platforms<\/td>405 M\u20ac<\/td>Irlande<\/td>2022<\/td>Donn\u00e9es de mineurs expos\u00e9es sur Instagram<\/td><\/tr>
4<\/td>Meta Ireland<\/td>390 M\u20ac<\/td>Irlande<\/td>2023<\/td>Traitement \u00e0 des fins publicitaires sans base l\u00e9gale<\/td><\/tr>
5<\/td>TikTok<\/td>345 M\u20ac<\/td>Irlande<\/td>2023<\/td>Donn\u00e9es d’enfants et param\u00e8tres de confidentialit\u00e9<\/td><\/tr>
6<\/td>Google LLC + Ireland<\/td>325 M\u20ac<\/td>France<\/td>2025<\/td>Publicit\u00e9s Gmail sans consentement valide<\/td><\/tr>
7<\/td>LinkedIn Ireland<\/td>310 M\u20ac<\/td>Irlande<\/td>2024<\/td>Ciblage publicitaire sans base l\u00e9gale<\/td><\/tr>
8<\/td>WhatsApp Ireland<\/td>225 M\u20ac<\/td>Irlande<\/td>2021<\/td>Transparence insuffisante sur les traitements<\/td><\/tr>
9<\/td>Enel Energia<\/td>79,1 M\u20ac<\/td>Italie<\/td>2024<\/td>Appels commerciaux sans consentement<\/td><\/tr>
10<\/td>Clearview AI<\/td>30,5 M\u20ac<\/td>Pays-Bas<\/td>2024<\/td>Collecte illicite de donn\u00e9es biom\u00e9triques<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

L’Irlande, hub des amendes record : 4 milliards d’euros cumul\u00e9s<\/h2>\n\n\n\n

L’Irlande d\u00e9tient \u00e0 elle seule un total cumul\u00e9 de 4,04 milliards d’euros<\/strong> d’amendes RGPD depuis 2018, loin devant tous les autres \u00c9tats membres. Cette domination s’explique par la g\u00e9ographie fiscale et r\u00e9glementaire de l’Europe : Meta, Google, TikTok, LinkedIn et la plupart des grandes plateformes num\u00e9riques am\u00e9ricaines ont \u00e9tabli leur si\u00e8ge social europ\u00e9en \u00e0 Dublin. Leur autorit\u00e9 de contr\u00f4le comp\u00e9tente est donc la Data Protection Commission (DPC) irlandaise, dont les d\u00e9cisions peuvent concerner l’ensemble des r\u00e9sidents de l’UE via le m\u00e9canisme de guichet unique pr\u00e9vu \u00e0 l’article 56 du RGPD.<\/p>\n\n\n\n

Ce guichet unique a longtemps \u00e9t\u00e9 critiqu\u00e9 pour sa lenteur. Plusieurs proc\u00e9dures contre Meta ont ainsi dur\u00e9 plus de quatre ans. La Commission europ\u00e9enne a exerc\u00e9 des pressions croissantes sur la DPC, et le m\u00e9canisme de coh\u00e9rence entre autorit\u00e9s nationales a permis aux autres r\u00e9gulateurs de peser sur les d\u00e9cisions finales. La condamnation de Meta \u00e0 1,2 milliard d’euros<\/strong> en mai 2023 pour transfert illicite de donn\u00e9es vers les \u00c9tats-Unis a constitu\u00e9 un tournant : la DPC a d\u00e9montr\u00e9 qu’elle pouvait prononcer des amendes conformes aux attentes du Comit\u00e9 europ\u00e9en de la protection des donn\u00e9es (CEPD).<\/p>\n\n\n\n

L’Allemagne (environ 45,9 millions d’euros cumul\u00e9s), la France (d\u00e9passant 200 millions d’euros depuis 2019 hors 2025), l’Espagne et l’Italie compl\u00e8tent le classement des pays les plus actifs. Le d\u00e9s\u00e9quilibre entre l’Irlande et le reste de l’Europe reste frappant, et la r\u00e9forme du m\u00e9canisme de guichet unique fait partie des discussions au niveau des institutions europ\u00e9ennes. Le CEPD, pr\u00e9sid\u00e9 depuis 2023 par Anu Talus (responsable de la protection des donn\u00e9es finlandaise), pousse pour une harmonisation plus forte des d\u00e9lais d’instruction entre DPA.<\/p>\n\n\n\n

L’IA g\u00e9n\u00e9rative dans le viseur du RGPD en 2026<\/h2>\n\n\n\n

La mont\u00e9e en puissance de l’intelligence artificielle g\u00e9n\u00e9rative constitue le nouveau front de l’enforcement RGPD. La CNIL a lanc\u00e9 d\u00e8s 2024 des travaux d’instruction sur les pratiques des principaux fournisseurs de mod\u00e8les de langage, portant notamment sur la base l\u00e9gale du traitement des donn\u00e9es d’entra\u00eenement, le droit d’opposition des personnes dont les donn\u00e9es ont \u00e9t\u00e9 collect\u00e9es sur internet, et la conservation des conversations saisies dans les interfaces de dialogue.<\/p>\n\n\n\n

Le CEPD a publi\u00e9 en 2025 des lignes directrices pr\u00e9cisant que le RGPD s’applique \u00e0 toute phase du cycle de vie d’un syst\u00e8me d’IA qui implique un traitement de donn\u00e9es personnelles : collecte des donn\u00e9es d’entra\u00eenement, inf\u00e9rence, g\u00e9n\u00e9ration de r\u00e9ponses, conservation des logs de conversation. Les amendes potentielles restent celles du RGPD, soit jusqu’\u00e0 20 millions d’euros ou 4 % du chiffre d’affaires mondial<\/strong>. Pour une grande plateforme dont le revenu d\u00e9passe 50 milliards d’euros, 4 % repr\u00e9sente 2 milliards de dollars, un montant qui d\u00e9passe l’amende record actuelle.<\/p>\n\n\n\n

L’articulation entre le RGPD et l’AI Act europ\u00e9en (entr\u00e9 progressivement en application \u00e0 partir d’ao\u00fbt 2024) cr\u00e9e une complexit\u00e9 r\u00e9glementaire nouvelle. Une entreprise qui d\u00e9ploie un syst\u00e8me d’IA \u00e0 haut risque dans les ressources humaines doit simultan\u00e9ment respecter les exigences du RGPD sur la base l\u00e9gale, les exigences de l’AI Act sur la transparence et la supervision humaine, et les dispositions du Code du travail. Les r\u00e9gulateurs europ\u00e9ens travaillent sur des m\u00e9canismes de coordination pour \u00e9viter les conflits de comp\u00e9tence, mais les premi\u00e8res d\u00e9cisions majeures dans ce domaine sont attendues avant fin 2026.<\/p>\n\n\n\n

NIS2 et DORA : l’arsenal r\u00e9glementaire europ\u00e9en s’\u00e9largit<\/h2>\n\n\n\n

Le RGPD n’est plus le seul instrument de pression r\u00e9glementaire en mati\u00e8re de cybers\u00e9curit\u00e9 des donn\u00e9es. La directive NIS2, dont la transposition dans les \u00c9tats membres devait \u00eatre achev\u00e9e en octobre 2024, \u00e9tend les obligations de s\u00e9curit\u00e9 \u00e0 plus de 18 cat\u00e9gories de secteurs<\/strong> et \u00e0 des entit\u00e9s de taille interm\u00e9diaire qui n’\u00e9taient pas couvertes par la directive NIS initiale. H\u00f4pitaux, fournisseurs d’\u00e9nergie, op\u00e9rateurs de transport, administrations publiques et prestataires num\u00e9riques sont d\u00e9sormais soumis \u00e0 des exigences minimales de gestion des risques cyber et d’obligation de notification des incidents significatifs.<\/p>\n\n\n\n

Dans le secteur financier, le r\u00e8glement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, impose aux \u00e9tablissements bancaires, aux compagnies d’assurance et aux prestataires de services num\u00e9riques critiques des tests de r\u00e9silience, des plans de continuit\u00e9 et une supervision renforc\u00e9e des prestataires tiers. Notre analyse du bilan DORA : 3 383 incidents TIC dans la finance europ\u00e9enne<\/a> montre que la premi\u00e8re ann\u00e9e d’application a mis en lumi\u00e8re l’ampleur des d\u00e9pendances aux prestataires cloud. La convergence de NIS2, de DORA et du RGPD cr\u00e9e un cadre r\u00e9glementaire coh\u00e9rent, mais exigeant pour les \u00e9quipes de conformit\u00e9.<\/p>\n\n\n\n

Comment se calcule une amende RGPD<\/h2>\n\n\n\n

Le RGPD distingue deux niveaux de sanctions financi\u00e8res en fonction de la gravit\u00e9 des manquements. Pour les violations les moins graves \u2014 d\u00e9faut de coop\u00e9ration avec le r\u00e9gulateur, absence de tenue de registres, manquements aux r\u00e8gles sur les sous-traitants \u2014 le plafond est de 10 millions d’euros ou 2 % du chiffre d’affaires mondial<\/strong>, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu. Pour les violations les plus graves \u2014 traitement illicite, violation des droits des personnes, transfert ill\u00e9gal hors UE, absence de base l\u00e9gale \u2014 le plafond monte \u00e0 20 millions d’euros ou 4 % du chiffre d’affaires mondial<\/strong>.<\/p>\n\n\n\n

Dans la pratique, les r\u00e9gulateurs ne prononcent pas syst\u00e9matiquement des amendes au plafond. Ils pond\u00e8rent leur d\u00e9cision selon plusieurs facteurs : la nature et la gravit\u00e9 de la violation, la dur\u00e9e du manquement, le nombre de personnes affect\u00e9es, la coop\u00e9ration de l’entit\u00e9 pendant l’enqu\u00eate, les mesures correctives mises en place avant la d\u00e9cision, et l’existence d’ant\u00e9c\u00e9dents. Pour une multinationale dont le chiffre d’affaires d\u00e9passe 50 milliards d’euros, m\u00eame 1 % de ce montant repr\u00e9sente 500 millions d’euros. C’est cette m\u00e9canique qui permet de prononcer des amendes \u00e0 neuf chiffres qui restent proportionn\u00e9es au volume d’activit\u00e9 des g\u00e9ants du num\u00e9rique.<\/p>\n\n\n\n

Les entreprises oublient souvent que les sanctions financi\u00e8res ne sont pas la seule cons\u00e9quence possible. Le r\u00e9gulateur peut \u00e9galement ordonner la suspension d’un traitement<\/strong>, l’effacement de donn\u00e9es<\/strong>, ou l’interdiction temporaire de traiter<\/strong> certaines cat\u00e9gories d’informations. Pour une plateforme publicitaire ou une entreprise SaaS, une injonction de suspension est souvent plus grave financi\u00e8rement qu’une amende.<\/p>\n\n\n\n

Ce que les entreprises doivent faire maintenant<\/h2>\n\n\n\n

Face \u00e0 l’intensification des contr\u00f4les, plusieurs mesures prioritaires s’imposent aux responsables de traitement. La CNIL a identifi\u00e9 que pr\u00e8s de 80 % des violations majeures<\/strong> examin\u00e9es auraient pu \u00eatre \u00e9vit\u00e9es par la seule mise en place de l’authentification \u00e0 plusieurs facteurs (MFA). C’est donc la premi\u00e8re action concr\u00e8te : g\u00e9n\u00e9raliser le MFA sur tous les comptes qui donnent acc\u00e8s \u00e0 des donn\u00e9es personnelles, en commen\u00e7ant par les comptes administrateurs, les VPN et les interfaces de gestion cloud.<\/p>\n\n\n\n

La tenue d’un registre des activit\u00e9s de traitement (RAT) \u00e0 jour reste une obligation de base souvent n\u00e9glig\u00e9e, notamment dans les structures ayant \u00e9volu\u00e9 rapidement. La cartographie des donn\u00e9es permet d’identifier les p\u00e9rim\u00e8tres \u00e0 risque, de v\u00e9rifier que les dur\u00e9es de conservation sont conformes et de s’assurer que chaque traitement repose sur une base l\u00e9gale document\u00e9e. En cas de contr\u00f4le, l’absence de RAT est syst\u00e9matiquement retenue comme circonstance aggravante.<\/p>\n\n\n\n

Le plan de r\u00e9ponse \u00e0 incident doit \u00eatre formalis\u00e9, test\u00e9 et connu de toutes les \u00e9quipes concern\u00e9es. L’article 33 du RGPD impose une notification \u00e0 la CNIL dans les 72 heures<\/strong> suivant la d\u00e9couverte d’une violation. Les entreprises qui ne d\u00e9clenchent pas ce processus dans les d\u00e9lais s’exposent \u00e0 une aggravation des sanctions. Lorsque la violation pr\u00e9sente un risque \u00e9lev\u00e9 pour les personnes, l’article 34 impose en plus d’informer les individus concern\u00e9s sans d\u00e9lai injustifi\u00e9. Les failles de s\u00e9curit\u00e9 dans les applications web, comme les vuln\u00e9rabilit\u00e9s IDOR qui ont expos\u00e9 31 millions de comptes publics en France<\/a>, montrent que la surface d’attaque reste trop souvent n\u00e9glig\u00e9e.<\/p>\n\n\n\n

5 pr\u00e9dictions pour l’enforcement RGPD 2026-2027<\/h2>\n\n\n\n

1. Les premi\u00e8res grandes sanctions li\u00e9es \u00e0 l’IA arriveront avant fin 2026.<\/strong> Plusieurs enqu\u00eates ouvertes par des DPA europ\u00e9ennes sur des fournisseurs de LLM devraient aboutir \u00e0 des d\u00e9cisions formelles dans les 12 mois. Les premi\u00e8res amendes se situeront probablement dans la fourchette 20-100 millions d’euros, avec des affaires plus importantes \u00e0 suivre en 2027 une fois les jurisprudences consolid\u00e9es.<\/p>\n\n\n\n

2. La France restera l’un des trois r\u00e9gulateurs les plus actifs d’Europe.<\/strong> Avec 50 % de ses contr\u00f4les 2026 consacr\u00e9s \u00e0 la cybers\u00e9curit\u00e9, la CNIL maintiendra un rythme de sanctions \u00e9lev\u00e9. La forte croissance des plaintes (+ 10 % par an) alimente un pipeline d’enqu\u00eates qui ne se tarira pas \u00e0 court terme.<\/p>\n\n\n\n

3. Les PME et sous-traitants deviendront une cible prioritaire.<\/strong> Apr\u00e8s les dossiers embl\u00e9matiques sur les grandes plateformes, les r\u00e9gulateurs descendront dans la cha\u00eene de valeur. Les sous-traitants qui traitent des donn\u00e9es sensibles pour le compte de grandes entreprises mais dont le niveau de s\u00e9curit\u00e9 est insuffisant sont particuli\u00e8rement expos\u00e9s, d’autant que l’article 28 du RGPD engage leur responsabilit\u00e9 directe.<\/p>\n\n\n\n

4. Le total des amendes RGPD europ\u00e9ennes franchira 10 milliards d’euros d’ici fin 2026.<\/strong> Au rythme actuel de 1,2 milliard par an et compte tenu de plusieurs affaires en cours contre de grandes plateformes, la barre symbolique devrait \u00eatre atteinte dans les 18 prochains mois.<\/p>\n\n\n\n

5. Le m\u00e9canisme de guichet unique sera r\u00e9form\u00e9.<\/strong> La pression exerc\u00e9e par les DPA non-irlandaises et le Parlement europ\u00e9en pour acc\u00e9l\u00e9rer les proc\u00e9dures contre les grandes plateformes devrait conduire \u00e0 une r\u00e9vision du fonctionnement de l’article 56 du RGPD, possiblement via un r\u00e8glement d\u00e9l\u00e9gu\u00e9 de la Commission europ\u00e9enne.<\/p>\n\n\n\n

FAQ : sanctions CNIL et amendes RGPD<\/h2>\n\n\n\n

Quelle est la plus grosse amende RGPD jamais prononc\u00e9e ?<\/h3>\n\n\n\n

L’amende la plus \u00e9lev\u00e9e de l’histoire du RGPD est celle de 1,2 milliard d’euros<\/strong> inflig\u00e9e \u00e0 Meta (Facebook) par la DPC irlandaise en mai 2023, pour transfert illicite de donn\u00e9es personnelles d’utilisateurs europ\u00e9ens vers les \u00c9tats-Unis sans garanties suffisantes.<\/p>\n\n\n\n

Combien la CNIL a-t-elle sanctionn\u00e9 d’entreprises en 2025 ?<\/h3>\n\n\n\n

La CNIL a prononc\u00e9 83 sanctions<\/strong> en 2025 pour un total de 487 millions d’euros<\/strong>, un record absolu depuis sa cr\u00e9ation en 1978. La d\u00e9cision la plus lourde de l’ann\u00e9e vise Google, condamn\u00e9 \u00e0 325 M\u20ac pour des publicit\u00e9s Gmail sans consentement valide.<\/p>\n\n\n\n

Une PME peut-elle recevoir une amende RGPD significative ?<\/h3>\n\n\n\n

Oui. Le plafond de 2 % ou 4 % du chiffre d’affaires mondial s’applique \u00e0 toutes les entit\u00e9s. Pour une PME r\u00e9alisant 5 millions d’euros de chiffre d’affaires, une violation grave peut th\u00e9oriquement entra\u00eener une amende allant jusqu’\u00e0 200 000 euros. La CNIL dispose d’une proc\u00e9dure simplifi\u00e9e pour prononcer rapidement des sanctions jusqu’\u00e0 20 000 euros pour les manquements de faible gravit\u00e9.<\/p>\n\n\n\n

Quelles sont les priorit\u00e9s de contr\u00f4le de la CNIL en 2026 ?<\/h3>\n\n\n\n

La CNIL a annonc\u00e9 que 50 % de ses actions de contr\u00f4le et de sanction en 2026<\/strong> se concentreront sur les d\u00e9faillances li\u00e9es \u00e0 la cybers\u00e9curit\u00e9. Les secteurs prioritaires incluent la sant\u00e9, les collectivit\u00e9s territoriales et les plateformes en ligne. Les cookies et la surveillance des salari\u00e9s restent dans le p\u00e9rim\u00e8tre, mais avec une intensit\u00e9 moindre.<\/p>\n\n\n\n

Pourquoi l’Irlande concentre-t-elle autant d’amendes RGPD ?<\/h3>\n\n\n\n

L’Irlande est le si\u00e8ge europ\u00e9en de la plupart des grandes plateformes num\u00e9riques am\u00e9ricaines (Meta, Google, TikTok, LinkedIn). En vertu du m\u00e9canisme de guichet unique de l’article 56 du RGPD, la DPC irlandaise est l’autorit\u00e9 de contr\u00f4le comp\u00e9tente pour ces entreprises \u00e0 l’\u00e9chelle de toute l’UE, ce qui concentre les affaires les plus importantes sur une seule juridiction.<\/p>\n\n\n\n

Le RGPD s’applique-t-il aux syst\u00e8mes d’intelligence artificielle ?<\/h3>\n\n\n\n

Oui, d\u00e8s lors que le syst\u00e8me traite des donn\u00e9es personnelles, le RGPD s’applique \u00e0 toutes les phases : collecte des donn\u00e9es d’entra\u00eenement, g\u00e9n\u00e9ration de r\u00e9ponses, conservation des conversations. L’AI Act europ\u00e9en ajoute des exigences compl\u00e9mentaires sur la transparence et la supervision humaine pour les syst\u00e8mes \u00e0 haut risque. Les deux r\u00e8glements coexistent et se cumulent.<\/p>\n\n\n\n

Combien de temps dispose-t-on pour notifier une violation de donn\u00e9es \u00e0 la CNIL ?<\/h3>\n\n\n\n

L’article 33 du RGPD impose une notification \u00e0 l’autorit\u00e9 de contr\u00f4le dans un d\u00e9lai de 72 heures<\/strong> \u00e0 compter du moment o\u00f9 l’entreprise a pris connaissance de la violation. Si ce d\u00e9lai ne peut pas \u00eatre respect\u00e9, une premi\u00e8re notification partielle doit \u00eatre envoy\u00e9e avec les informations disponibles, compl\u00e9t\u00e9e ult\u00e9rieurement.<\/p>\n\n\n\n

Quelle diff\u00e9rence entre une mise en demeure et une sanction de la CNIL ?<\/h3>\n\n\n\n

Une mise en demeure est un avertissement formel qui impose \u00e0 l’entit\u00e9 de corriger ses manquements dans un d\u00e9lai fix\u00e9, sans amende imm\u00e9diate. Si l’entit\u00e9 ne se met pas en conformit\u00e9 dans le d\u00e9lai imparti, la CNIL peut alors ouvrir une proc\u00e9dure de sanction susceptible d’aboutir \u00e0 une amende. En 2025, la CNIL a prononc\u00e9 259 mesures correctives, dont certaines \u00e9taient des mises en demeure, en plus de ses 83 sanctions financi\u00e8res.<\/p>\n\n\n\n

Couverture connexe<\/h2>\n\n\n\n