Les chiffres officiels 2025
La CNIL a publié son bilan répressif 2025, avec des chiffres record. En 2025, elle a rendu 259 décisions correctrices : 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Le montant cumulé des amendes atteint 486 839 500 € — un niveau sans précédent, contre 55,2 M€ en 2024 et 89,2 M€ en 2023.
| Année | Total des amendes |
|---|---|
| 2023 | 89 179 500 € |
| 2024 | 55 212 400 € |
| 2025 | 486 839 500 € |
Sur les 83 sanctions, 16 sont passées par la procédure ordinaire de la formation restreinte et 67 par la procédure simplifiée. Elles comprennent 78 amendes (dont 27 assorties d’injonctions sous astreinte), trois liquidations d’astreinte et deux rappels à l’ordre.
Deux décisions concentrent 97,6 % du total
Le record s’explique presque entièrement par deux décisions du 3 septembre 2025 : 325 M€ contre Google et 150 M€ contre Shein, principalement pour leurs pratiques en matière de cookies. Ensemble, elles représentent 475 M€ — soit environ 97,6 % du total annuel. En les retirant, les amendes restantes totalisent environ 11,8 M€ répartis sur les autres décisions : le niveau « ordinaire » de la répression n’a pas explosé, il reste dans la fourchette connue des dernières années.
Cette distinction compte : lire « 487 M€ d’amendes CNIL » comme le signe que seuls les géants du numérique sont visés, c’est comprendre le risque exactement à l’envers.
La procédure simplifiée vise les entreprises ordinaires
67 des 83 sanctions de 2025 — 81 % — sont passées par la procédure simplifiée, la voie rapide créée en 2022 pour les dossiers ne nécessitant pas la formation restreinte complète, avec des amendes plafonnées à 20 000 €. C’est l’outil de la CNIL pour sanctionner PME et ETI à grande échelle : peu coûteux pour l’autorité, rapide, et de plus en plus systématique. Ajoutez les 143 mises en demeure et le schéma est clair — pour une entreprise classique, le scénario réaliste n’est pas l’amende record, c’est la sanction de 5 000 à 20 000 € assortie d’une injonction, à la suite d’une plainte ou d’une violation.
Les trois motifs récurrents — et les documents qui les préviennent
La CNIL met en avant trois thèmes récurrents en 2025 : les cookies, la surveillance des salariés et la sécurité des données. Tous trois sont, au fond, des défauts de gouvernance que des politiques documentées traitent directement :
| Motif | Défaillance type | Document préventif |
|---|---|---|
| Cookies | Consentement invalide, refus difficile | Politique cookies/consentement + bandeau conforme |
| Surveillance des salariés | Surveillance disproportionnée, absence d’information | Politique de surveillance + charte d’usage acceptable |
| Sécurité (art. 32 RGPD) | Mots de passe faibles, accès non révoqués, absence de chiffrement | Politiques de contrôle d’accès, mots de passe, chiffrement |
Ce qu’une PME doit retenir de ces chiffres
- Considérez la procédure simplifiée comme votre exposition réaliste : jusqu’à 20 000 € plus une mise en conformité sous délai — significatif pour une PME, et public.
- Traitez d’abord les trois motifs récurrents — ils s’auditent de l’extérieur (votre bandeau cookies) ou se déclenchent au premier contentieux salarié ou à la première violation.
- Documentez la sécurité de l’article 32 : contrôle d’accès avec MFA, règles de mots de passe et procédures de révocation sont ce que la CNIL demande après une violation.
- Conservez les preuves : politiques datées et approuvées, registre des traitements — les premières pièces demandées dans toute instruction CNIL.
Sources de référence
- CNIL — Sanctions et mesures correctrices : bilan 2025 (cnil.fr/fr/bilan-sanctions-2025).
- Vie publique — Sanctions et mesures correctrices de la CNIL, bilan 2025 (vie-publique.fr).
Comment PolicyForge vous aide
PolicyForge génère les documents que la CNIL s’attend à voir à l’appui du RGPD — contrôle d’accès, mots de passe, chiffrement, usage acceptable, réponse aux incidents avec notification sous 72 heures — bilingues, versionnés et approuvés. Commencer gratuitement →