Ce que dit (vraiment) le bilan 2025
Chaque début d'année, la CNIL publie le bilan de son activité répressive de l'année écoulée. Celui de 2025 mérite qu'on s'y arrête. En 2025, la Commission a adopté 259 décisions correctrices et répressives, contre 331 en 2024. Dans le détail : 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements.
Parmi ces 83 sanctions figurent 78 amendes, dont 27 assorties d'une injonction sous astreinte — autrement dit l'obligation de se mettre en conformité sous peine de payer une somme supplémentaire par jour de retard.
Mais le chiffre qui change tout, c'est le montant. Le cumul des amendes prononcées en 2025 atteint 486,8 millions d'euros. Pour mesurer le bond, il suffit de regarder les deux années précédentes :
| Année | Montant cumulé des amendes CNIL |
|---|---|
| 2023 | 89,2 M€ |
| 2024 | 55,2 M€ |
| 2025 | 486,8 M€ |
L'explication tient pour l'essentiel en une date : le 3 septembre 2025. Ce jour-là, la CNIL a prononcé deux sanctions majeures relatives aux cookies : 150 millions d'euros pour Shein et 325 millions d'euros pour Google. À elles seules, ces deux décisions expliquent la majeure partie du montant record de l'année.
Moins de décisions, des amendes record : comment lire ce paradoxe
Première lecture possible : « la CNIL ne s'occupe que des géants du numérique, ma PME ne risque rien ». C'est exactement la mauvaise conclusion.
Ce que montre le bilan, c'est une action à deux étages. D'un côté, des frappes lourdes et médiatisées sur des manquements massifs — les cookies en 2025 — qui fixent la doctrine et envoient un signal à tout le marché. De l'autre, un travail répressif de fond, beaucoup moins visible : les mises en demeure et les rappels aux obligations légales représentent, en volume, l'essentiel des décisions de l'année. Et ces mesures-là ne visent pas que les multinationales.
Pour une PME ou une ETI, le scénario le plus probable n'est donc pas l'amende à neuf chiffres. C'est le contrôle — sur place, en ligne, sur pièces ou sur audition — déclenché par une plainte de client, de salarié ou de concurrent, suivi d'une mise en demeure avec un délai pour se mettre en conformité. Le coût réel se joue là : mise en conformité dans l'urgence, mobilisation des équipes, et parfois publicité de la décision. Sans oublier le plafond que fixe le règlement lui-même : pour les manquements les plus graves, les amendes RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial.
Autre enseignement : les sujets contrôlés sont prévisibles. Cookies, sous-traitance, registre, violations de données, protection des mineurs — le bilan 2025 dessine une carte claire des priorités. C'est une bonne nouvelle : on peut s'y préparer méthodiquement. Voici comment.
Cinq leçons concrètes pour votre PME ou ETI
Leçon 01 · Cookies
Le manquement le plus facile à détecter… est sur votre site
Les deux sanctions record du 3 septembre 2025 — Shein et Google — portent sur les cookies. Ce n'est pas un hasard : un bandeau non conforme se constate depuis n'importe quel navigateur, sans que la CNIL ait besoin de pousser votre porte. C'est le manquement le plus simple à vérifier à distance, pour un régulateur comme pour un plaignant.
Les règles sont connues : aucun traceur soumis à consentement ne doit se déclencher avant que l'utilisateur ait consenti, refuser doit être aussi simple qu'accepter, et le consentement doit pouvoir être retiré à tout moment. Le piège classique : un bandeau visuellement conforme… pendant que le site dépose quand même des traceurs en arrière-plan via des tags tiers.
Concrètement
- Inventoriez les cookies et traceurs réellement déposés par votre site, pas seulement ceux déclarés dans votre politique.
- Testez le parcours « Tout refuser » : aucun traceur soumis à consentement ne doit se charger.
- Passez en revue vos tags tiers : régies publicitaires, mesure d'audience, boutons de partage, pixels de réseaux sociaux.
- Conservez la preuve du consentement recueilli (quoi, quand, comment).
Leçon 02 · Sous-traitants
Le manquement de votre prestataire reste votre problème
Hébergeur, agence web, solution d'emailing, CRM en SaaS, prestataire de paie : dès qu'un prestataire traite des données personnelles pour votre compte, c'est un sous-traitant au sens du RGPD. L'article 28 du règlement impose un contrat de sous-traitance (DPA) qui encadre la sécurité, la confidentialité, les sous-traitants ultérieurs et le sort des données en fin de contrat.
Beaucoup de PME découvrent lors d'un contrôle — ou d'un incident — qu'elles n'ont aucun DPA signé avec des prestataires qui manipulent pourtant leurs fichiers clients ou RH. Or vous restez responsable de traitement : externaliser l'outil n'externalise pas la responsabilité.
Concrètement
- Listez tous les prestataires qui accèdent à des données personnelles (clients, salariés, prospects).
- Vérifiez qu'un DPA existe pour chacun, et ce qu'il prévoit réellement : sécurité, notification d'incident, sous-traitance ultérieure.
- Localisez les données : hébergement, transferts hors Union européenne et garanties associées.
- Anticipez la fin de contrat : restitution ou suppression des données, réversibilité.
Leçon 03 · Registre
Le registre des traitements, première pièce demandée en contrôle
Le registre des activités de traitement (article 30 du RGPD) est presque toujours le premier document que demande un contrôleur. Il prouve une chose simple : vous savez quelles données vous traitez, pourquoi, sur quelle base légale, combien de temps, et qui y a accès.
Un registre absent, vide ou manifestement copié-collé envoie le pire des signaux : la conformité n'est pas pilotée. À l'inverse, un registre à jour structure tout le reste — durées de conservation, information des personnes, sécurité — et transforme un contrôle en simple vérification.
Concrètement
- Cartographiez vos traitements par grande fonction : RH, clients, prospection, comptabilité, vidéosurveillance…
- Documentez pour chaque traitement la base légale et la durée de conservation.
- Vérifiez que les durées annoncées sont réellement appliquées (purge, archivage intermédiaire).
- Faites vivre le registre : nouvel outil ou nouveau prestataire = nouvelle ligne.
Leçon 04 · Violations de données
72 heures pour notifier : un délai intenable sans préparation
Rançongiciel, fuite de base clients, envoi massif d'emails au mauvais destinataire, vol d'un ordinateur portable : ce sont des violations de données personnelles. L'article 33 du RGPD impose de les notifier à la CNIL dans les 72 heures après en avoir pris connaissance, dès lors qu'elles présentent un risque pour les personnes concernées.
Le décompte court à partir de la découverte, week-end et jours fériés compris. Sans procédure écrite — qui détecte, qui qualifie, qui décide, qui notifie — le délai est presque toujours dépassé. Et le retard de notification devient alors un manquement en soi, qui s'ajoute à l'incident initial.
Concrètement
- Rédigez une procédure de gestion des violations avec des rôles nommés, pas des intitulés vagues.
- Tenez un registre interne des violations, y compris celles que vous décidez de ne pas notifier (en justifiant pourquoi).
- Préparez à l'avance un modèle de notification et l'accès au téléservice de la CNIL.
- Testez le dispositif à blanc : c'est pendant l'exercice qu'on découvre les trous, pas pendant la crise.
Leçon 05 · Contrôle de l'âge
La protection des mineurs devient un vrai point de contrôle
Le bilan 2025 confirme l'attention croissante portée à la protection des mineurs en ligne et au contrôle de l'âge. Si votre entreprise édite un service réservé aux adultes, une plateforme susceptible d'être fréquentée par des mineurs ou une offre qui s'adresse aux jeunes publics, la question « comment vérifiez-vous l'âge de vos utilisateurs ? » appelle désormais une réponse documentée.
Une simple case à cocher déclarative ne constitue pas un contrôle sérieux lorsque la loi impose une vérification réelle. Mais attention à l'excès inverse : le contrôle de l'âge ne doit pas se transformer en collecte massive de données d'identité. Le dispositif doit rester proportionné et minimiser les données collectées et conservées.
Concrètement
- Déterminez si votre service est concerné : contenus réservés aux adultes, publics jeunes, jeux, réseaux sociaux.
- Écartez la simple déclaration sur l'honneur quand une vérification effective est attendue.
- Choisissez un dispositif proportionné, qui vérifie l'âge sans stocker plus de données que nécessaire.
- Documentez votre analyse et votre choix : c'est précisément ce qu'un contrôleur demandera.
Par où commencer
Inutile de tout traiter de front. L'ordre efficace, constaté sur le terrain : d'abord savoir ce que vous traitez (le registre), ensuite corriger ce qui est visible de l'extérieur (cookies, site web), puis encadrer ceux qui traitent pour vous (DPA sous-traitants), et enfin préparer l'incident (procédure 72 h). Un audit externe sert précisément à établir cet ordre de priorité sur des faits — pas sur des impressions.
// Passer à l'action
L'audit RGPD Kipsafe : votre conformité passée au crible
Cartographie des traitements et bases légales, registre article 30 prêt pour un contrôle, revue contractuelle de vos sous-traitants (DPA), process droits des personnes et procédure de notification : notre audit RGPD couvre exactement les points que la CNIL vérifie — et livre un score de maturité avec une feuille de route de remédiation priorisée.
Découvrir l'audit RGPD Kipsafe →Le bilan 2025 de la CNIL n'est pas une raison de paniquer. C'est mieux : une liste de priorités publiée à l'avance par le régulateur lui-même. Les entreprises qui la lisent comme telle transforment une contrainte réglementaire en avantage — vis-à-vis de leurs clients, de leurs donneurs d'ordre et de leurs assureurs.
← Retour au blog