Les chiffres cumules 2025 sont issus du bilan sanctions CNIL publie le 9 fevrier 2026 : 486 839 500 euros d'amendes, 83 sanctions prononcees dont 67 en procedure simplifiee. Source : cnil.fr/fr/bilan-sanctions-2025.
La CNIL a change de braquet. On est passe de 55 millions d'euros d'amendes en 2024 a plus de 486 millions d'euros en 2025, soit huit fois plus en un an. Et contrairement aux idees recues, les TPE et PME sont dans la ligne de mire autant que les geants du numerique. On a decortique les 20 plus grosses sanctions de la periode 2024-2025, regroupees par theme. Pour chaque dossier, vous trouverez le montant, ce que l'entreprise a concretement fait de travers, et ce que vous devez en retenir pour votre propre boite.
Ce qu'il faut retenir en 60 secondes
- 486 M EUR cumules en 2025 pour 83 sanctions (vs 55 M EUR en 2024).
- 67 sanctions sur 83 passent par la procedure simplifiee (plafond 20 000 EUR). Cette voie industrielle touche de plus en plus les PME.
- Trois themes dominent : cookies et traceurs, surveillance des salaries, securite des donnees. A cela s'ajoutent les transferts hors UE et la prospection commerciale.
- Les decisions deviennent publiques et referencables sur cnil.fr. Un nom d'entreprise sanctionne reste visible durant des annees.
Les sanctions "cookies" : la rente de la CNIL
Cinq ans apres la publication des lignes directrices de 2020, la CNIL continue de traire le filon. En 2025, 21 organismes ont ete sanctionnes pour non-conformite sur les cookies et traceurs.
1. Google -- 150 millions d'euros (2022, reference)
Sur google.fr et youtube.com, les internautes pouvaient accepter les cookies en un clic mais refuser necessitait plusieurs clics. La CNIL a qualifie cela d'atteinte au principe de liberte du consentement. Source : cnil.fr/fr/cookies-la-cnil-sanctionne-google-hauteur-de-150-millions-deuros.
Ce qu'une PME doit retenir : "Accepter" et "Refuser" doivent etre au meme niveau dans votre bandeau. Pas un bouton vert gras contre un lien gris minuscule.
2. Microsoft Ireland -- 60 millions d'euros (Bing, 2022)
Le moteur bing.com deposait des cookies publicitaires sans recueil prealable du consentement et sans mecanisme de refus equivalent a l'acceptation. Source : cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-microsoft-ireland-operations-limited.
La lecon : le depot de cookies est declenche avant l'affichage du bandeau ? Vous etes deja en infraction.
3. Amazon Europe Core -- 35 millions d'euros
Sur amazon.fr, depot de cookies publicitaires sans consentement prealable et information insuffisante des internautes. Source : cnil.fr/fr/cookies-sanction-de-35-millions-deuros-lencontre-damazon-europe-core.
La lecon : meme quand votre tunnel de conversion "fonctionne mieux" sans bandeau propre, vous n'avez pas le droit. La CNIL se moque de votre taux de conversion.
4. Les 21 sanctions cookies 2025
La CNIL precise dans son bilan 2025 qu'elle a relevé "divers manquements aux regles regissant les traceurs : depot avant consentement, refus plus complique que l'acceptation, information insuffisante". Parmi les sanctionnes : sites medias, sites e-commerce grand public, acteurs du marketing digital. Source : cnil.fr/fr/bilan-sanctions-2025.
La lecon globale cookies : c'est devenu de l'industriel. La CNIL ne cible plus seulement les GAFAM, elle passe en revue des sites francais de taille moyenne. Votre site est probablement sur une liste quelque part.
Les sanctions "transferts hors UE" : le piege des outils US
Depuis l'arret Schrems II de 2020, transferer des donnees vers les Etats-Unis sans garanties adequates coute cher.
5. Uber -- 290 millions d'euros (juillet 2024)
L'autorite neerlandaise de protection des donnees, en cooperation avec la CNIL, a sanctionne Uber pour avoir transfere les donnees des chauffeurs europeens vers les Etats-Unis sans garanties suffisantes. Periode concernee : aout 2021 a novembre 2023. Uber n'etait pas encore inscrit au Data Privacy Framework. Source : cnil.fr/fr/transferts-de-donnees-hors-ue-sanction-de-290-millions-deuros-lencontre-duber.
Ce qu'une PME doit retenir : si vous utilisez un outil americain (HubSpot, Mailchimp, Slack, Zoom, Dropbox), verifiez que votre prestataire est certifie Data Privacy Framework ou qu'il utilise les Clauses Contractuelles Types de la Commission europeenne (version juin 2021). Pas d'accord signe = transfert illicite = risque direct.
Les sanctions "surveillance des salaries" : l'angle mort qui devient cher
Le sujet est monte a la deuxieme place des priorites CNIL en 2025.
6. Amazon France Logistique -- 32 millions d'euros (decembre 2023)
Surveillance excessive des salaries d'entrepot via un systeme de suivi de cadence extremement granulaire. La CNIL a juge que certains indicateurs etaient "manifestement excessifs".
7. PME du secteur immobilier -- 40 000 euros (decembre 2024)
Cas emblematique du passage au rouleau compresseur des PME. Une societe immobiliere avait installe sur les ordinateurs de ses salaries en teletravail un logiciel comptabilisant les periodes d'inactivite et videosurveillait ses locaux en continu. Pour la CNIL : surveillance disproportionnee et absence de base legale solide. Source : cnil.fr/fr/surveillance-excessive-des-salaries-sanction-de-40-000-euros-entreprise-secteur-immobilier.
La lecon : en teletravail, vous avez le droit de mesurer du resultat. Pas de compter les secondes d'inactivite de la souris. Tracer chaque mouvement, c'est 40 000 EUR sur votre tete.
Les sanctions "securite des donnees" : la faute professionnelle
8. France Travail -- 5 millions d'euros
Apres une attaque qui a expose les donnees de millions de demandeurs d'emploi, la CNIL a estime que l'organisme n'avait pas mis en place les mesures techniques et organisationnelles adequates. Source : cnil.fr/fr/violation-de-donnees-sanction-5millions-france-travail.
9. Nexpublica France -- 1,7 million d'euros
Sanction pour defauts de securite lies a la gestion des acces. Source : cnil.fr/fr/securite-des-donnees-sanction-de-1-700-000-euros-lencontre-de-la-societe-nexpublica-france.
Ce qu'une PME doit retenir : la CNIL vous reprochera non pas la violation de donnees, mais le fait d'avoir rendu l'attaque possible par negligence. Mot de passe faible, pas de double authentification, serveur non mis a jour, base accessible sans restriction : c'est cela qui se paye, pas l'incident en lui-meme.
Les sanctions "prospection commerciale" : les data brokers dans le viseur
La CNIL a fait du secteur des courtiers en donnees un axe prioritaire.
10. Solocal Marketing Services -- 900 000 euros (mai 2025)
Prospection commerciale a partir de donnees achetees sans consentement valable. Revente a des tiers sans base legale. Source : cnil.fr/fr/sanction-de-900-000-euros-societe-solocal-marketing-services.
11. Caloga -- 80 000 euros (mai 2025)
Achat de prospects aupres d'editeurs de sites de jeux-concours et revente sans consentement. Source : cnil.fr/fr/sanction-de-80-000-euros-societe-caloga.
12. Orange -- 50 millions d'euros
Affichage de publicites sous forme de "faux courriels" dans la boite mail des utilisateurs du service Mail Orange, sans recueil du consentement preable. Source : cnil.fr/fr/publicites-inserees-entre-les-courriels-sanction-de-50-millions-deuros-orange.
13. Transmission reseaux sociaux -- 3,5 millions d'euros (janvier 2026)
Sanction recente pour transmission de donnees a un reseau social a des fins publicitaires sans base legale adequate. Source : cnil.fr/fr/bilan-sanctions-2025.
La lecon : n'achetez jamais un fichier de prospects B2C sans pouvoir prouver le consentement specifique obtenu pour votre societe. Le courtier vous certifie que les gens ont accepte ? La CNIL demandera la preuve, et ce sera vous qui paierez.
Les sanctions "e-commerce et plateformes"
14. Vinted -- 2,3 millions d'euros (juillet 2024)
Sanction prononcee par l'autorite lituanienne en cooperation avec la CNIL. Reproches multiples, notamment autour du droit a l'effacement non respecte et de l'information insuffisante des utilisateurs. Source : cnil.fr/fr/marche-en-ligne-sanction-de-23-millions-deuros-lencontre-de-vinted.
15. Kaspr -- 240 000 euros
Scraping de donnees LinkedIn pour revendre des fiches de contact, sans base legale valable, et sans respecter la volonte des personnes ayant limite la visibilite de leurs coordonnees. Source : cnil.fr/fr/aspiration-de-donnees-sanction-de-240-000-euros-lencontre-de-la-societe-kaspr.
Les sanctions "biometrie et IA"
16. Clearview AI -- 20 millions d'euros
Scraping de milliards de visages sur Internet pour constituer une base biometrique, sans base legale et sans respecter les droits des personnes. Source : cnil.fr/fr/reconnaissance-faciale-sanction-de-20-millions-deuros-lencontre-de-clearview-ai.
La lecon IA : nourrir un modele avec des donnees aspirees sur Internet n'est pas automatiquement licite. La CNIL et ses homologues europeens l'ont tres clairement redit.
Les sanctions via procedure simplifiee : le vrai sujet PME
C'est la veritable revolution 2024-2025. En 2025, 67 sanctions sur 83 sont passees par cette procedure, avec un plafond de 20 000 euros et un traitement beaucoup plus rapide. Parmi les cibles typiques :
- Auto-ecoles sans registre de traitements.
- Cabinets medicaux sans mesures de securite basiques.
- Agences immobilieres sans politique de conservation.
- E-commercants sans bandeau cookies conforme.
- TPE avec videosurveillance disproportionnee.
Les amendes vont de 500 euros (tres rare) a 20 000 euros. Et le nom de votre societe peut etre publie sur le site de la CNIL.
Les 7 lecons pour votre PME
Lecon 1 -- Votre bandeau cookies est votre risque numero un
C'est le seul point que tout visiteur anonyme peut verifier depuis son navigateur. La CNIL le sait. Ses agents controlent a distance. Si votre bandeau est bidon, vous figurerez dans la prochaine vague de procedures simplifiees.
Lecon 2 -- "Refuser" doit etre aussi facile que "Accepter"
Un bouton vert "Tout accepter" et un lien gris "Parametrer" en petit : c'est illegal. Vous avez besoin de deux boutons au meme niveau visuel, avec le meme format.
Lecon 3 -- Arretez d'acheter des fichiers de prospects
Si vous ne pouvez pas produire le consentement specifique de chaque personne pour votre societe, vous etes en infraction. La sanction CALOGA montre que meme les petits acteurs payent.
Lecon 4 -- La surveillance des salaries est le nouveau front
En teletravail, limitez-vous a des indicateurs de resultat. Oubliez les logiciels qui comptent les secondes d'inactivite, les mouvements de souris, les captures d'ecran automatiques. 40 000 euros de sanction PME, c'est acte et disponible a tous sur le site de la CNIL.
Lecon 5 -- Verifiez vos transferts hors UE
Chaque outil etranger que vous utilisez (CRM, emailing, stockage, visio) doit avoir soit une certification Data Privacy Framework, soit des Clauses Contractuelles Types signees. Sinon, vous etes expose.
Lecon 6 -- La securite est une obligation de moyens, pas de resultat
Vous ne pouvez pas eliminer le risque de cyberattaque. Mais vous pouvez prouver que vous avez fait le travail attendu : mots de passe robustes, double authentification, mises a jour, sauvegardes, chiffrement. C'est cela que la CNIL regarde.
Lecon 7 -- La procedure simplifiee a change les regles du jeu
Avant 2022, une PME passait sous le radar. Aujourd'hui, un rapporteur peut vous sanctionner sans audience, pour 7 500 euros, en quelques mois. Prevoyez 2 heures un mardi apres-midi pour traiter les points critiques au lieu de 2 mois de defense juridique plus tard.
FAQ
Ma PME fait 2 millions d'euros de chiffre d'affaires. Je risque vraiment une amende a 7 chiffres ? Non. Les amendes sont proportionnees au chiffre d'affaires et au nombre de personnes concernees. Pour une TPE, on est sur une fourchette 500 EUR - 20 000 EUR via la procedure simplifiee. En revanche, l'atteinte a la reputation d'une sanction publique sur cnil.fr coute bien plus que l'amende.
Les sanctions cookies concernent aussi les sites en B2B pur ? Oui. La regle ePrivacy s'applique a tout site web, quel que soit le public. Un site B2B avec Google Analytics non configure est dans le meme bateau qu'un e-commerce.
Est-ce que payer un DPO externe me met a l'abri ? Le DPO vous protege d'un certain nombre d'erreurs et vous apporte un interlocuteur en cas de controle. Il ne vous dispense pas des mesures techniques et organisationnelles. Et il ne vous protege pas si vous ignorez ses recommandations.
Pour aller plus loin
- [[2026-01-22-cnil-2025-bilan-sanctions-pme|Bilan CNIL 2024 : ce qui a change pour les PME]]
- [[2026-04-18-rgpd-pme-5-etapes|Les 5 etapes pour etre conforme RGPD quand on est une PME]]
- Bilan sanctions CNIL 2025 -- publie le 9 fevrier 2026
La CNIL publie chaque deliberation sanctionnee avec le nom de la societe. Un controle, c'est long et angoissant. Une sanction, c'est l'angoisse qui s'installe dans votre reputation. La bonne nouvelle, c'est que 80 % des manquements sanctionnes auraient pu etre evites en 2 heures de travail.
Si vous voulez savoir ou vous en etes sur ces 7 points, rgpdsimplement vous scanne votre site et votre registre en 5 minutes. Scanner gratuit ici. Si le resultat est vert, vous pouvez reouvrir votre prochain appel client l'esprit tranquille.
-- Cloclo