ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
ParticuliersProfessionnelsPresse
FrEnGestionnaire de cookies
  1. Accueil
  2. Sanctions et mesures correctrices : la CNIL présente le bilan 2025

Sanctions et mesures correctrices : la CNIL présente le bilan 2025

09 février 2026

Cookies, surveillance des salariés et sécurité des données, sont les principaux sujets des sanctions prononcées par la CNIL en 2025, dont le montant cumulé des amendes représente un montant total de 486 839 500 euros.

Les chiffres à retenir

259 décisions

dont :

83 sanctions

143 mises en demeure

31 rappels aux obligations légales

2 avertissements

486 839 500 euros d’amendes cumulées

Les sanctions prononcées

En 2025, 83 sanctions ont été prononcées par la CNIL, pour un montant total de 486 839 500 euros. Parmi ces sanctions, 16 ont été prononcées par la formation restreinte, organe de la CNIL en charge de prononcer les sanctions selon la procédure ordinaire, et 67 par son président seul ou par un membre de cette formation, dans le cadre de la procédure simplifiée mise en place en 2022.

Ces sanctions comportent 78 amendes (dont 27 avec injonctions sous astreinte), trois décisions de liquidation d’astreinte (c’est-à-dire le paiement d’une somme en raison du non-respect d’un ordre donné par la CNIL dans sa décision de sanction) et deux rappels à l’ordre. Dix de ces décisions ont été rendues publiques.

Parmi les seize décisions de sanction adoptées par la formation restreinte selon la procédure ordinaire, quatre ont été adoptées en coopération avec les homologues européens de la CNIL, dans le cadre du guichet unique prévu par le RGPD. En parallèle, la CNIL a examiné 9 projets de décision d’homologues européens relatifs à des traitements qui concernent notamment des personnes résidant en France.

Cookies et autres traceurs : des règles qui ne peuvent plus être ignorées

Cinq ans après la publication de ses lignes directrices et recommandations, la CNIL a poursuivi son plan d’action en matière de cookies et autres traceurs. Les contrôles menés ont permis de relever des situations de non-conformité.

21 ont ainsi été sanctionnés par la ou dans le cadre de la procédure de simplifiée, pour divers manquements aux règles régissant les traceurs : dépôt sans le consentement de l’utilisateur, insuffisance des informations délivrées (ne permettant pas de recueillir un consentement éclairé), ou encore absence de prise en compte effective du refus de l’utilisateur ou du retrait de son consentement.

Ces décisions insistent sur l’impact de ces pratiques pour les internautes, dont les données sont parfois traitées à leur insu, et sur le fait que les acteurs sanctionnés ne pouvaient ignorer les règles applicables, la CNIL ayant largement communiqué sur celles-ci depuis plusieurs années. C’est au regard de ces éléments que la formation restreinte a prononcé à l’encontre de deux acteurs majeurs des amendes d’un montant de 325 millions et de 150 millions d’euros.

Faire respecter le cadre applicable à la des salariés 

16 organismes ont été sanctionnés en 2025 pour non-respect des règles applicables à la vidéosurveillance des salariés.

En l’absence de circonstances exceptionnelles liées par exemple à des enjeux particuliers de sécurité ou de lutte contre le vol, la surveillance vidéo permanente de salariés constitue une atteinte à la protection des données personnelles.

Sont ainsi contraires à ces règles les dispositifs filmant en continu les employés de caisses d’un magasin ou des bureaux. De même, l’installation de caméras dissimulées ne peut intervenir que dans des circonstances exceptionnelles, et à la condition de ménager un juste équilibre entre l’objectif poursuivi (la protection des biens et des personnes) et la protection de la vie privée des salariés.  

Sanctionner les manquements aux obligations des

Outre les décisions adoptées en matière de cookies et de vidéosurveillance, la formation restreinte a également sanctionné le non-respect des obligations pesant sur les sous-traitants concernant les données qui leur sont confiées. Elle a ainsi rappelé que ceux-ci doivent :

  • mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat ;
  • ne traiter les données que sur instruction du  ;
  • et supprimer les données à l’issue de leur relation contractuelle avec le responsable de traitement.

Procédure de sanction simplifiée : les manquements récurrents sanctionnés

En 2025, la sécurisation insuffisante des données personnelles, l’absence de coopération avec la CNIL et le non respect des droits des personnes constituent les trois principaux motifs de sanction dans le cadre de la procédure simplifiée.

Un manquement relatif à la sécurité des données personnelles a été retenu à l’encontre de 14 organismes qui n’avaient pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données, comme l’utilisation de mots de passe insuffisamment robustes ou l’usage de comptes partagés entre utilisateurs.

De même, 14 organismes (sociétés, professionnels libéraux) ont été sanctionnés pour n’avoir pas répondu aux demandes de la CNIL.

Enfin, 14 décisions ont été prises en raison de la non prise en compte de demandes d’effacement, d’opposition ou d’accès.

La prospection, qu’elle soit commerciale ou politique, a également fait l’objet de 10 décisions de sanction.  La CNIL a rappelé que pour réaliser des opérations de prospection commerciale par voie électronique, le consentement des personnes est obligatoire pour la réalisation de prospection directe ou la transmission de leurs données à des partenaires commerciaux. La CNIL a également sanctionné cinq candidats aux élections européennes et législatives de 2024, rappelant notamment l’obligation pour ces derniers de pouvoir justifier de la licéité des envois de messages de prospection politique.

À noter :

Toutes les amendes prononcées par la CNIL, qu’elles concernent les acteurs privés ou publics, sont recouvrées par le Trésor public (Direction générale des finances publiques) et sont versées au budget de l’État.

Les mises en demeure

En 2025, la CNIL a adressé 143 mises en demeure.

Plusieurs concernaient le secteur de l’aide sociale à l'enfance pour les manquements suivants : l’absence de politique rigoureuse de conservation de données pour les dossiers des mineurs, l’information des personnes, la politique de gestion des habilitations et des mots de passe, la tenue d’un registre des traitements et la réalisation d’une analyse d’impact relative à la protection des données.

D’autres mises en demeure ont visé des sites web qui permettaient le dépôt de cookies et autre traceurs sans respecter le consentement des personnes, soit en ne leur permettant pas de refuser le dépôt de façon simple, soit en ne tenant pas compte du retrait du consentement des utilisateurs.

Enfin, plusieurs applications mobiles et jeux en ligne dont une part importante des utilisateurs sont des mineurs, ont été mis en demeure de renforcer le contrôle de l’âge des utilisateurs et d’améliorer la transparence afin de mieux protéger les données des mineurs.

Texte reference

Pour approfondir

Ceci peut également vous intéresser ...

Violation de données : sanction de 5 millions d’euros à l’encontre de FRANCE TRAVAIL

29 janvier 2026

 Sanction
Transmission de données à un réseau social à des fins publicitaires : la CNIL prononce une ...

22 janvier 2026

 Sanction
Violation de données : sanction de 42 millions d’euros à l’encontre des sociétés FREE MOBILE...

14 janvier 2026

 Sanction