Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY9 min

Sanctions CNIL 2025 : ce que le record de 487 M€ signifie vraiment pour les PME

Analyse du bilan officiel 2025 de la CNIL : 259 décisions, 83 sanctions, 486,8 M€ d’amendes — dont 97,6 % issus de deux décisions seulement. Ce que la procédure simplifiée et les motifs récurrents (cookies, surveillance des salariés, sécurité) impliquent pour les PME.

Les chiffres officiels 2025

La CNIL a publié son bilan répressif 2025, avec des chiffres record. En 2025, elle a rendu 259 décisions correctrices : 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Le montant cumulé des amendes atteint 486 839 500 € — un niveau sans précédent, contre 55,2 M€ en 2024 et 89,2 M€ en 2023.

AnnéeTotal des amendes
202389 179 500 €
202455 212 400 €
2025486 839 500 €

Sur les 83 sanctions, 16 sont passées par la procédure ordinaire de la formation restreinte et 67 par la procédure simplifiée. Elles comprennent 78 amendes (dont 27 assorties d’injonctions sous astreinte), trois liquidations d’astreinte et deux rappels à l’ordre.

Deux décisions concentrent 97,6 % du total

Le record s’explique presque entièrement par deux décisions du 3 septembre 2025 : 325 M€ contre Google et 150 M€ contre Shein, principalement pour leurs pratiques en matière de cookies. Ensemble, elles représentent 475 M€ — soit environ 97,6 % du total annuel. En les retirant, les amendes restantes totalisent environ 11,8 M€ répartis sur les autres décisions : le niveau « ordinaire » de la répression n’a pas explosé, il reste dans la fourchette connue des dernières années.

Cette distinction compte : lire « 487 M€ d’amendes CNIL » comme le signe que seuls les géants du numérique sont visés, c’est comprendre le risque exactement à l’envers.

La procédure simplifiée vise les entreprises ordinaires

67 des 83 sanctions de 2025 — 81 % — sont passées par la procédure simplifiée, la voie rapide créée en 2022 pour les dossiers ne nécessitant pas la formation restreinte complète, avec des amendes plafonnées à 20 000 €. C’est l’outil de la CNIL pour sanctionner PME et ETI à grande échelle : peu coûteux pour l’autorité, rapide, et de plus en plus systématique. Ajoutez les 143 mises en demeure et le schéma est clair — pour une entreprise classique, le scénario réaliste n’est pas l’amende record, c’est la sanction de 5 000 à 20 000 € assortie d’une injonction, à la suite d’une plainte ou d’une violation.

Les trois motifs récurrents — et les documents qui les préviennent

La CNIL met en avant trois thèmes récurrents en 2025 : les cookies, la surveillance des salariés et la sécurité des données. Tous trois sont, au fond, des défauts de gouvernance que des politiques documentées traitent directement :

MotifDéfaillance typeDocument préventif
CookiesConsentement invalide, refus difficilePolitique cookies/consentement + bandeau conforme
Surveillance des salariésSurveillance disproportionnée, absence d’informationPolitique de surveillance + charte d’usage acceptable
Sécurité (art. 32 RGPD)Mots de passe faibles, accès non révoqués, absence de chiffrementPolitiques de contrôle d’accès, mots de passe, chiffrement

Ce qu’une PME doit retenir de ces chiffres

  1. Considérez la procédure simplifiée comme votre exposition réaliste : jusqu’à 20 000 € plus une mise en conformité sous délai — significatif pour une PME, et public.
  2. Traitez d’abord les trois motifs récurrents — ils s’auditent de l’extérieur (votre bandeau cookies) ou se déclenchent au premier contentieux salarié ou à la première violation.
  3. Documentez la sécurité de l’article 32 : contrôle d’accès avec MFA, règles de mots de passe et procédures de révocation sont ce que la CNIL demande après une violation.
  4. Conservez les preuves : politiques datées et approuvées, registre des traitements — les premières pièces demandées dans toute instruction CNIL.

Sources de référence

Comment PolicyForge vous aide

PolicyForge génère les documents que la CNIL s’attend à voir à l’appui du RGPD — contrôle d’accès, mots de passe, chiffrement, usage acceptable, réponse aux incidents avec notification sous 72 heures — bilingues, versionnés et approuvés. Commencer gratuitement →

Questions fréquentes

Combien la CNIL a-t-elle infligé d’amendes en 2025 ?

Selon son bilan officiel 2025, la CNIL a prononcé 83 sanctions parmi 259 décisions correctrices, pour un total cumulé de 486 839 500 € — contre 55,2 M€ en 2024 et 89,2 M€ en 2023. Deux décisions du 3 septembre 2025, Google (325 M€) et Shein (150 M€), représentent environ 97,6 % de ce total.

La CNIL sanctionne-t-elle les petites entreprises ?

Oui. 67 des 83 sanctions de 2025 (81 %) sont passées par la procédure simplifiée, la voie rapide conçue pour les dossiers courants avec des amendes plafonnées à 20 000 € — l’outil utilisé contre les PME et ETI. La CNIL a aussi prononcé 143 mises en demeure en 2025.

Quels sont les motifs les plus fréquents de sanction CNIL ?

La CNIL met en avant trois thèmes récurrents dans son bilan 2025 : les pratiques cookies (consentement invalide ou refus difficile), la surveillance des salariés (dispositifs disproportionnés) et les défauts de sécurité au titre de l’article 32 du RGPD, comme des mots de passe faibles ou des accès non révoqués.

Comment réduire le risque de sanction CNIL ?

Traitez d’abord les motifs récurrents : bandeau cookies conforme, politique de surveillance des salariés proportionnée et documentée, et mesures de sécurité de l’article 32 (contrôle d’accès, MFA, mots de passe, chiffrement) — le tout documenté, approuvé et daté, avec un registre des traitements prêt à être produit en cas d’instruction.