Retour aux articles
Sanctions CNIL : bilan complet des amendes RGPD et comment les éviter
CNIL RGPD Sanctions Amendes Conformité Audit

Sanctions CNIL : bilan complet des amendes RGPD et comment les éviter

DPLIANCEÉditeur de solutions Data & IA souveraines
13 min de lecture

486,8 millions d’euros d’amendes en 2025 : la CNIL frappe fort

La CNIL ne prévient plus. Elle sanctionne.

En 2025, 486,8 millions d’euros d’amendes. En 2024, 87 sanctions pour 55 millions d’euros. Année après année, les montants augmentent, les procédures s’accélèrent, et le périmètre des entreprises visées s’élargit.

Ce qui a changé, ce n’est pas le RGPD — il est en vigueur depuis 2018. C’est la CNIL. L’autorité française est passée d’une posture pédagogique à une posture répressive. La procédure simplifiée, opérationnelle depuis 2022, lui permet de sanctionner en quelques semaines des dossiers qui prenaient autrefois des mois. Et les robots de contrôle en ligne scannent automatiquement les sites web français pour détecter les manquements les plus courants.

Personne n’est à l’abri. Ni les géants du numérique, ni les PME, ni les collectivités.

Voici le bilan détaillé des sanctions CNIL, les cas emblématiques, les motifs qui reviennent — et surtout, comment s’en prémunir.

Les sanctions CNIL record : les cas emblématiques

Google : 325 millions d’euros (septembre 2025)

C’est la plus lourde sanction jamais prononcée par la CNIL. En septembre 2025, Google écope de 325 millions d’euros d’amende pour des publicités insérées entre les courriels dans Gmail et des cookies déposés sans consentement valide.

Le mécanisme était simple et massif : des traceurs publicitaires étaient activés avant même que l’utilisateur ait pu interagir avec le bandeau de consentement. Sur Gmail, des publicités étaient présentées comme des emails, sans identification claire de leur nature commerciale. Des millions d’utilisateurs français étaient concernés.

Ce n’est pas la première fois que Google est sanctionné par la CNIL. En décembre 2021, l’entreprise avait déjà écopé de 150 millions d’euros pour des violations similaires sur les cookies. En quatre ans, Google a cumulé près d’un demi-milliard d’euros d’amendes CNIL.

Ce que ça enseigne : La répétition de l’infraction est un facteur aggravant. La CNIL a explicitement mentionné la sanction de 2021 dans sa décision de 2025. Si vous avez été averti et que vous ne corrigez pas, le montant explose.

SHEIN : 150 millions d’euros (2025)

Le géant chinois de la fast fashion a été sanctionné pour 150 millions d’euros pour des cookies publicitaires déposés sans consentement. Le site français de SHEIN déposait des traceurs tiers dès le chargement de la page, avant toute interaction avec le bandeau cookies.

Ce que ça enseigne : Être basé hors de l’UE ne protège pas. Le RGPD s’applique à toute entreprise qui cible des résidents européens. La CNIL peut sanctionner un site chinois, américain ou singapourien dès lors qu’il traite des données de personnes en France.

FREE : 42 millions d’euros (janvier 2026)

FREE Mobile et FREE ont été sanctionnés pour un total de 42 millions d’euros suite à des failles de sécurité ayant permis l’accès aux données personnelles de 24 millions d’abonnés. Les données compromises comprenaient noms, adresses, numéros de téléphone, identifiants de connexion et, pour certains abonnés, des coordonnées bancaires (IBAN).

La CNIL a considéré que les mesures de sécurité mises en place par FREE étaient insuffisantes au regard de la sensibilité et du volume des données traitées. Le système de détection des intrusions était défaillant, et la notification des personnes concernées a été jugée tardive.

Ce que ça enseigne : La sécurité des données n’est pas optionnelle. L’article 32 du RGPD impose des mesures techniques et organisationnelles « appropriées » au regard des risques. « Appropriées » signifie proportionnées au volume et à la sensibilité des données. Plus vous traitez de données, plus vos obligations de sécurité sont élevées.

France Travail : 5 millions d’euros (2025)

France Travail (ex-Pôle Emploi) a été sanctionné de 5 millions d’euros pour des failles de sécurité ayant exposé les données de millions de demandeurs d’emploi. La CNIL a relevé des défauts dans le contrôle d’accès aux données, permettant à des tiers non autorisés d’accéder aux informations personnelles des inscrits.

Ce que ça enseigne : Le secteur public n’est pas exempt. Et le montant — bien que modeste comparé aux sanctions contre les GAFAM — reste significatif pour un organisme public. La CNIL sanctionne aussi les administrations.

Criteo : 40 millions d’euros (2023)

Le spécialiste français du reciblage publicitaire a été condamné à 40 millions d’euros pour avoir collecté et traité des données de navigation de millions d’utilisateurs sans consentement valide. Criteo s’appuyait sur des partenaires (sites web) pour recueillir le consentement, sans vérifier que celui-ci avait effectivement été obtenu.

La CNIL a estimé que Criteo ne pouvait pas se retrancher derrière ses partenaires : en tant que responsable conjoint du traitement, l’entreprise devait s’assurer elle-même de l’existence d’un consentement valide.

Ce que ça enseigne : La responsabilité conjointe ne dilue pas les obligations. Si vous partagez des données avec un partenaire, vous êtes co-responsable de la conformité du traitement. Déléguer la collecte du consentement ne vous exonère pas.

Clearview AI : 20 millions d’euros (2022)

Clearview AI, société américaine spécialisée dans la reconnaissance faciale, a été sanctionnée de 20 millions d’euros pour avoir aspiré des milliards de photos sur Internet (réseaux sociaux, sites web) afin de constituer une base de données biométriques, sans base légale, sans information des personnes, et sans possibilité pour elles d’exercer leurs droits.

La CNIL a ajouté une astreinte de 100 000 euros par jour de retard pour contraindre Clearview AI à supprimer les données des résidents français et à cesser la collecte.

Ce que ça enseigne : Le scraping de données publiques ne rend pas leur traitement légal. Des données accessibles publiquement restent des données personnelles protégées par le RGPD.

Amazon France Logistique : 32 millions d’euros (2024)

Amazon a été sanctionné pour la surveillance excessive de ses salariés dans ses entrepôts français. Le système enregistrait les temps d’inactivité des scanners utilisés par les préparateurs de commandes, permettant un suivi individuel en temps réel de la productivité — considéré par la CNIL comme disproportionné au regard de la finalité poursuivie.

Ce que ça enseigne : Le RGPD protège aussi les salariés. La surveillance au travail doit être proportionnée, transparente et reposer sur une base légale solide.

Les 5 motifs de sanction les plus fréquents

L’analyse des sanctions CNIL depuis 2021 fait apparaître cinq motifs récurrents. Les connaître, c’est savoir où concentrer ses efforts de mise en conformité.

1. Cookies et traceurs sans consentement

C’est le premier motif de sanction en montant cumulé. Google (325 M€ + 150 M€), SHEIN (150 M€), Microsoft (60 M€), Criteo (40 M€), TikTok (5 M€) — la quasi-totalité des sanctions majeures implique des cookies déposés avant consentement ou des mécanismes de refus rendus plus difficiles que l’acceptation.

Les pratiques sanctionnées :

  • Traceurs déposés avant toute interaction avec le bandeau
  • Bouton « Refuser » absent ou caché dans un second niveau
  • Bouton « Accepter » visuellement mis en avant (dark patterns)
  • Consentement recueilli par la simple poursuite de la navigation
  • Cookies déposés malgré un refus explicite

Comment s’en prémunir : Déployer une CMP conforme qui bloque tous les traceurs non essentiels tant que l’utilisateur n’a pas consenti. Cookilio bloque les scripts tiers par défaut et présente le refus au même niveau que l’acceptation, conformément aux exigences de la CNIL.

2. Sécurité insuffisante des données

FREE (42 M€), France Travail (5 M€), et de nombreuses sanctions en procédure simplifiée. Les failles de sécurité représentent le deuxième motif le plus fréquent, et celui dont les conséquences sont les plus visibles pour les personnes concernées.

Les manquements relevés :

  • Absence de chiffrement des données sensibles
  • Mots de passe stockés en clair ou insuffisamment protégés
  • Accès non restreints aux bases de données
  • Absence de système de détection d’intrusion
  • Notification tardive des violations

Comment s’en prémunir : Mettre en place un monitoring des accès, chiffrer les données sensibles, tester régulièrement la sécurité de vos systèmes. Et surtout : avoir un plan de réponse aux incidents documenté et testé.

3. Défaut d’information et de transparence

Ne pas informer les personnes de la collecte de leurs données, ou le faire de manière incomplète ou incompréhensible, constitue un motif de sanction autonome. La politique de confidentialité n’est pas un document juridique optionnel — c’est une obligation légale (articles 13 et 14 du RGPD).

Comment s’en prémunir : Rédiger une politique de confidentialité complète, spécifique à votre activité, rédigée en langage clair. Complio audite automatiquement votre site et identifie les lacunes dans votre information aux utilisateurs.

4. Transferts de données hors UE non encadrés

Les arrêts Schrems I (2015) et Schrems II (2020) ont créé une incertitude juridique durable sur les transferts vers les États-Unis. Le Data Privacy Framework (2023) a partiellement résolu le problème, mais sa pérennité reste incertaine.

Les risques :

  • Utiliser Google Analytics, AWS, Mailchimp ou tout service américain transfère potentiellement des données hors UE
  • Les Google Fonts, CDN et pixels publicitaires créent des transferts invisibles
  • Un « Schrems III » pourrait invalider le DPF à tout moment

Comment s’en prémunir : Cartographier tous les flux de données vers des pays tiers. Privilégier les solutions hébergées en Europe. Mirage Analytics est hébergé sur Scaleway en France — aucune donnée ne quitte l’UE.

5. Non-respect des droits des personnes

Droit d’accès, de rectification, de suppression, de portabilité — les personnes concernées ont des droits, et les entreprises doivent être en mesure d’y répondre dans un délai d’un mois. L’absence de procédure pour traiter ces demandes expose à des plaintes individuelles, qui déclenchent des contrôles.

Comment s’en prémunir : Mettre en place une adresse dédiée, une procédure documentée et un registre de suivi des demandes.

La procédure simplifiée : l’arme de la CNIL contre les PME

Depuis 2022, la CNIL dispose d’une procédure de sanction simplifiée qui lui permet de prononcer des amendes jusqu’à 20 000 euros sans audience publique, sur la base d’un dossier écrit. Cette procédure vise les infractions les plus courantes et les moins complexes.

En pratique, c’est un changement majeur. Avant 2022, une sanction CNIL prenait des mois, mobilisait un rapporteur et une formation restreinte. La procédure simplifiée permet de traiter un dossier en quelques semaines.

Qui est visé ? Principalement les TPE, PME et associations dont le site web présente des manquements flagrants : cookies sans consentement, absence de politique de confidentialité, formulaire de contact sans information sur le traitement des données.

Comment la CNIL détecte-t-elle les infractions ? Deux canaux principaux :

  • Les plaintes individuelles : Tout internaute peut signaler un site non conforme sur cnil.fr. C’est le principal vecteur de contrôle.
  • Les contrôles en ligne automatisés : La CNIL utilise des robots qui scannent les sites web et détectent les manquements visibles (cookies non conformes, absence de mentions légales). Aucune intervention humaine n’est nécessaire.

En 2025, plus de 60 % des sanctions concernaient des PME. Le mythe selon lequel la CNIL ne s’intéresse qu’aux GAFAM est définitivement enterré.

Comment éviter une sanction CNIL : la checklist

La conformité RGPD n’est pas un projet ponctuel. C’est une hygiène continue. Mais certaines actions réduisent immédiatement et significativement le risque.

Niveau 1 : les urgences (< 1 semaine)

  • Auditer votre site web — Vérifier les cookies, traceurs, formulaires et politique de confidentialité. Complio réalise cet audit en quelques minutes et produit un rapport actionnable avec un score de conformité.
  • Déployer une CMP conforme — Bloquer tous les traceurs non essentiels avant consentement. Proposer le refus au même niveau que l’acceptation. Cookilio est conforme aux exigences CNIL et exempt de consentement en mode analytics.
  • Remplacer Google Analytics — Si vous utilisez GA sans consentement, vous êtes en infraction. Mirage Analytics est éligible à l’exemption de consentement CNIL, hébergé en France, et ne dépose aucun cookie.
  • Publier une politique de confidentialité — Spécifique à votre activité, en langage clair, détaillant chaque traitement.

Niveau 2 : la mise en conformité structurelle (< 1 mois)

  • Tenir un registre des traitements — Obligatoire pour la quasi-totalité des entreprises (article 30 RGPD).
  • Encadrer les sous-traitants — Vérifier les DPA (Data Processing Agreements) avec chaque prestataire qui accède à des données personnelles.
  • Définir des durées de conservation — Pour chaque catégorie de données, conformément aux référentiels CNIL.
  • Mettre en place un processus de gestion des droits — Adresse dédiée, procédure documentée, suivi des demandes.

Niveau 3 : la conformité proactive (continu)

  • Former les équipes — Le RGPD concerne toute personne qui manipule des données personnelles dans l’entreprise.
  • Réaliser une analyse d’impact (PIA) — Obligatoire pour les traitements présentant un risque élevé pour les personnes.
  • Surveiller les évolutions réglementaires — IA Act, ePrivacy, Schrems III potentiel : le cadre réglementaire évolue en permanence.
  • Planifier des audits réguliers — La conformité se dégrade avec le temps (nouveaux outils, nouvelles pratiques, turnover).

Le vrai coût de la non-conformité

Les amendes ne sont que la partie émergée. Les sanctions CNIL sont publiées nommément sur le site de la CNIL et reprises par la presse. Pour une PME, c’est un risque réputationnel disproportionné par rapport au montant de l’amende.

Le calcul est simple :

  • Une sanction en procédure simplifiée : jusqu’à 20 000 € + publication nominative
  • Un audit de site web avec Complio : 89 € en 10 minutes
  • Une CMP conforme avec Cookilio : déploiement en 5 minutes
  • Un analytics souverain avec Mirage Analytics : 19 €/mois

La conformité n’est pas un coût. C’est une assurance.

FAQ

Quel est le montant maximum d’une amende CNIL ?

Le RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. En pratique, les amendes CNIL en France ont atteint 325 millions d’euros (Google, 2025). La procédure simplifiée est plafonnée à 20 000 euros.

La CNIL sanctionne-t-elle les petites entreprises ?

Oui. La procédure simplifiée vise spécifiquement les infractions courantes des TPE et PME. En 2025, plus de 60 % des sanctions concernaient des PME. La CNIL utilise des robots de contrôle en ligne qui scannent automatiquement les sites web, indépendamment de la taille de l’entreprise.

Quels sont les secteurs les plus sanctionnés par la CNIL ?

Aucun secteur n’est épargné. Les sanctions récentes touchent le numérique (Google, Criteo, TikTok), le e-commerce (SHEIN, Amazon), les télécoms (FREE), le secteur public (France Travail), et de nombreuses PME dans tous les secteurs. Le dénominateur commun n’est pas le secteur, c’est la présence en ligne et le traitement de données personnelles.

Comment savoir si mon site est conforme avant un contrôle CNIL ?

Un audit de conformité permet d’identifier les manquements visibles : cookies déposés sans consentement, politique de confidentialité absente ou incomplète, traceurs tiers non déclarés, formulaires non conformes. Complio réalise cet audit automatiquement et fournit un rapport détaillé avec un score de conformité et des recommandations priorisées.

Peut-on contester une sanction CNIL ?

Oui. Les décisions de la CNIL peuvent faire l’objet d’un recours devant le Conseil d’État. Cependant, les recours aboutissent rarement à une annulation complète. La stratégie la plus efficace reste la prévention : se mettre en conformité avant un contrôle coûte infiniment moins qu’un contentieux après une sanction.

À lire aussiLes 10 erreurs RGPD les plus courantes des entreprises | Checklist RGPD site web : 15 points essentiels | Audit RGPD site web : guide complet 2026

Sources : CNIL — Bilan des sanctions 2025, CNIL — Sanctions et mesures correctrices 2024, CNIL — Sanction Google (325 M€), CNIL — Sanction FREE, CNIL — Sanction France Travail, CNIL — Sanction Criteo, CNIL — Sanction Amazon. Article publié le 30 mars 2026.

Écrivez-nous

contact@dpliance.com
Nous contacter