Bilan CNIL 2025 : ce qui sanctionne vraiment vs ce qui vous fait peur pour rien

486 millions d'euros d'amendes RGPD en 2025, mais 97 % du montant sur seulement deux entreprises. Decryptage des 4 vrais declencheurs de sanctions et des fausses peurs entretenues par les consultants.

Une lecture du registre officiel des sanctions

Le registre officiel CNIL 2025, publie le 9 fevrier 2026, contient 83 decisions. C’est le document de reference pour comprendre ce que la CNIL sanctionne reellement, et ce qu’elle ignore.

Les chiffres, lus a froid, racontent une histoire tres differente de celle que la plupart des consultants RGPD propagent en 2026.

Les vrais chiffres 2025

  • 486 millions d’euros d’amendes RGPD prononcees en 2025
  • Sur ce total, 475 millions se concentrent sur deux entreprises : Google et Shein
  • Soit 97,6 % du montant total sur 2 sanctions
  • Mediane des 81 autres sanctions : 10 000 euros

Les PME concernees couvrent un spectre large : agences de voyage, supermarches, cabinets medicaux, e-commerces, salles de sport. Pas seulement des geants de la tech.

Les 4 vraies causes de sanctions

En analysant les 83 dossiers, quatre motifs recurrents emergent comme declencheurs directs de sanctions :

1. Cookies sans consentement (21 sanctions)

C’est le motif numero un en volume. Les configurations ciblees :

  • Bandeau cookies present mais boutons “accepter” et “refuser” non equivalents (refus cache derriere plusieurs clics)
  • Tags publicitaires ou analytics qui se declenchent avant consentement
  • Duree de cookie superieure a 13 mois
  • Pas de mecanisme de retrait du consentement aussi simple que l’acceptation

L’angle de la CNIL est tres concret : elle teste votre site, regarde les requetes reseau, mesure le delai entre arrivee et premier hit publicitaire. Si les tags sortent avant que vous ayez clique, dossier ouvert.

2. Defaut de cooperation et droits des personnes (28 sanctions)

Le plus gros volume en realite. Cela couvre :

  • Demandes d’acces (DSAR) ignorees ou repondues hors delai (1 mois maximum)
  • Demandes de suppression bloquees ou conditionnees abusivement
  • Defaut de reponse aux courriers de la CNIL elle-meme
  • Refus de coopererer avec le rapporteur en cours d’instruction

Le piege ici est administratif : beaucoup d’entreprises ne savent meme pas qu’elles ont recu une demande, parce qu’elle est partie dans une boite mail generique non surveillee.

3. Videosurveillance disproportionnee des salaries (16 sanctions)

Sujet qui touche surtout l’hotellerie, la restauration, le retail et certaines activites avec de l’open space. Les motifs recurrents :

  • Cameras orientees sur les postes de travail individuels
  • Enregistrement audio en plus de la video
  • Conservation des images au-dela des durees legales
  • Information des salaries absente ou incomplete

4. Prospection commerciale sans base legale (10 sanctions)

Souvent du B2C, parfois du B2B mal cible. Causes :

  • Achat ou utilisation de fichiers tiers sans verification de la source
  • Pas de double opt-in sur les inscriptions newsletter
  • Maintien dans la base apres demande de desinscription
  • Ciblage commercial agressif via WhatsApp, SMS, appels

Les 3 fausses peurs

Plusieurs sujets sont brandis comme “indispensables” par certains consultants. Le registre 2025 montre qu’aucun n’est un declencheur direct :

Le registre Article 30

Aucune sanction en 2025 n’a ete prononcee uniquement parce que le registre des activites de traitement etait incomplet ou absent. Le registre est un aggravant une fois qu’un dossier est ouvert pour autre chose, mais il n’attire pas la CNIL a lui seul.

L’AIPD (analyse d’impact)

Meme constat. L’absence d’AIPD pour un traitement qui en aurait necessite une est un manquement, mais pas un declencheur de controle. La CNIL ne fouille pas les bases pour trouver les AIPD manquantes : elle reagit aux plaintes, aux signalements ou aux constats sur le terrain.

Le DPA (data processing agreement) avec sous-traitant

Ne pas avoir signe un DPA avec votre prestataire d’envoi d’emailing est non conforme, mais aucune sanction 2025 n’a ce point comme cause unique.

Ces trois sujets restent importants pour la documentation legale et les eventuelles defenses, mais ne devraient pas etre la priorite operationnelle.

La vraie hierarchie des priorites

Sur la base de ces chiffres, voici la sequence logique pour reduire le risque :

Priorite absolue : conformite du consentement cookies

  • Bandeau equilibre (refuser aussi visible qu’accepter)
  • Aucun tag declenche avant consentement (verifier en navigation privee, onglet Reseau)
  • Mecanisme de retrait accessible en permanence (footer)
  • Voir le guide pratique du Consent Mode v2 pour l’implementation technique

Priorite 2 : capacite a repondre aux DSAR dans les delais

  • Une boite mail dediee, surveillee
  • Un process documente : reception, identification, reponse sous 1 mois
  • Outils : la plupart des CRM ont des fonctionnalites natives DSAR

Priorite 3 : base legale claire pour la prospection

  • Audit des sources de la base de prospects
  • Double opt-in sur les inscriptions
  • Desinscription en un clic sur tous les emails

Specifique selon votre activite

  • Hotellerie, retail, RH : audit videosurveillance
  • E-commerce : retention des donnees de commande, droit a l’oubli post-livraison
  • Sante : verifier les exigences HDS si stockage de donnees de patients

Que retenir si vous etes consultant ou DPO

Ne paniquez pas vos clients sur le registre Article 30 ou l’AIPD si la CMP fuit ou si les DSAR ne sont pas repondues. Le risque est ailleurs.

Une CMP correctement implementee + un process DSAR + une base de prospection propre couvrent 60 a 70 % du risque concret pour une PME. Le reste releve de la documentation defensive, importante mais non urgente.

Pour aller plus loin

Sources

  • Registre officiel CNIL 2025, publie le 9 fevrier 2026 (83 decisions)
  • Chiffres consolides par categorie de manquement

Besoin d'aide sur ce sujet ?

Je peux vous accompagner sur la mise en place ou l'optimisation de votre tracking.

Prendre rendez-vous