En 2025, la CNIL a prononcé 87 sanctions pour un montant cumulé de 98 millions d'euros, contre 42 sanctions et 89 millions d'euros en 2024 (source : rapport annuel CNIL 2025). Cette accélération révèle un changement de stratégie : l'autorité ne cible plus seulement les géants du numérique, mais sanctionne désormais les entreprises de toutes tailles.
Cet article analyse les décisions marquantes de 2025-2026 et les leçons concrètes pour votre PME.
Panorama des sanctions 2025-2026
Les chiffres clés
| Indicateur | 2024 | 2025 | Évolution |
|---|---|---|---|
| Nombre de sanctions | 42 | 87 | +107 % |
| Montant total | 89 M€ | 98 M€ | +10 % |
| Nombre de mises en demeure | 168 | 214 | +27 % |
| Sanctions via procédure simplifiée | 24 | 51 | +112 % |
| Sanctions publiques (naming) | 18 | 34 | +89 % |
La procédure simplifiée, introduite en 2022, représente désormais 59 % des sanctions. Elle vise les manquements courants (cookies, sécurité, information des personnes) avec des amendes jusqu'à 20 000 euros. Ce format accéléré traduit la volonté de la CNIL de sanctionner plus vite et plus largement.
Les décisions clés 2025-2026
Cookies et consentement
Le non-respect des règles sur les cookies reste le premier motif de sanction. En juin 2025, une chaîne de e-commerce française (320 salariés) a été sanctionnée à hauteur de 250 000 euros pour avoir déposé des cookies Google Analytics et Meta Pixel avant tout consentement. La CNIL a relevé trois manquements : absence de bandeau conforme, cookies déposés dès le chargement de la page, et absence de bouton « Refuser » de même niveau que « Accepter ».
Défaut de sécurité
En septembre 2025, un éditeur de logiciel SaaS a écopé d'une amende de 800 000 euros après une fuite de données touchant 180 000 utilisateurs. La CNIL a constaté l'absence de chiffrement des mots de passe (stockage en clair), des accès API non authentifiés et un délai de notification de 45 jours (contre 72 heures imposées par l'article 33).
Transferts de données hors UE
En mars 2026, la CNIL a sanctionné une ETI industrielle de 150 000 euros pour transfert de données salariés vers les États-Unis via un SIRH SaaS hébergé sur AWS us-east-1, sans clauses contractuelles types ni évaluation d'impact du transfert.
« Le responsable de traitement doit s'assurer, avant tout transfert, que le pays de destination offre un niveau de protection adéquat ou que des garanties appropriées sont mises en œuvre. »
CNIL, Délibération SAN-2026-004, mars 2026
Intelligence artificielle
Les premières sanctions liées à l'IA ont été prononcées fin 2025. Un cabinet de recrutement a reçu un avertissement public pour avoir utilisé un système de tri automatisé des CV sans information des candidats (article 22 RGPD), sans étude d'impact (article 35), et sans mention dans sa politique de confidentialité.
Les priorités d'enforcement CNIL 2026
La CNIL a publié ses thématiques prioritaires de contrôle pour 2026 :
- Applications mobiles : collecte de géolocalisation, SDK tiers, permissions excessives
- Intelligence artificielle : transparence des algorithmes, bases légales du web scraping, réutilisation de données
- Données des mineurs : vérification d'âge, consentement parental, design patterns
- Fichiers clients et prospection : bases légales, durée de conservation, opt-out B2B
Impact concret pour les PME
Les PME représentent désormais 38 % des sanctions CNIL (contre 22 % en 2023). La procédure simplifiée a supprimé le « filtre » de taille qui protégeait les petites structures. Les motifs les plus fréquents pour les PME :
| Motif | Part des sanctions PME | Amende moyenne |
|---|---|---|
| Cookies non conformes | 34 % | 15 000 € |
| Défaut de sécurité | 27 % | 45 000 € |
| Information insuffisante | 19 % | 8 000 € |
| Transferts hors UE | 12 % | 30 000 € |
| Durée de conservation | 8 % | 12 000 € |
Comment protéger votre PME
Cinq actions concrètes pour réduire votre exposition :
- Auditez votre site avec le scan COCORRIDOR pour identifier les services non conformes (cookies déposés avant consentement, services US non déclarés)
- Générez vos documents légaux via le Legal Builder : politique de confidentialité, politique cookies et mentions légales conformes à la délibération CNIL 2020-091
- Migrez vers des alternatives européennes pour éliminer les transferts hors UE problématiques
- Déployez un CMP conforme qui bloque réellement les scripts avant consentement
- Documentez vos traitements dans un registre à jour (article 30)
FAQ
La procédure simplifiée de la CNIL concerne-t-elle les PME ?
Oui, c'est même son objectif principal. La procédure simplifiée permet à la CNIL de prononcer des sanctions jusqu'à 20 000 euros sans passer par la formation restreinte. Elle vise les manquements courants et répétitifs, typiquement ceux rencontrés dans les PME : cookies non conformes, politique de confidentialité absente, défaut d'information.
Peut-on contester une sanction CNIL ?
Oui, devant le Conseil d'État dans un délai de deux mois. En pratique, le taux d'annulation est faible (environ 8 % des recours aboutissent). Il est plus efficace de se mettre en conformité en amont que de contester une sanction. La CNIL propose également un mécanisme d'engagement de mise en conformité qui peut réduire le montant de l'amende.
Les sanctions CNIL sont-elles publiques ?
Pas systématiquement. En 2025, 34 sanctions sur 87 ont fait l'objet d'une publication nominative (naming). La CNIL peut décider de publier la décision pour une durée déterminée lorsqu'elle estime que la publicité est nécessaire pour informer les personnes concernées ou pour l'effet dissuasif. Le naming représente souvent un dommage réputationnel supérieur à l'amende elle-même.
Le Data Privacy Framework protège-t-il contre les sanctions liées aux transferts US ?
Le DPF offre une base légale pour les transferts vers les entreprises américaines certifiées. Cependant, cette protection est fragile : l'association NOYB a déposé un recours (potentiel « Schrems III »). Si le DPF est invalidé, les entreprises devront basculer sur des clauses contractuelles types ou des alternatives européennes. Anticiper avec le scan COCORRIDOR permet d'identifier dès maintenant les services concernés.