42 millions d’euros pour Free, 5 millions pour France Travail — et nous ne sommes qu’au premier trimestre 2026. Après une année 2025 record avec 487 millions d’euros d’amendes cumulées, la CNIL maintient une pression sans précédent. Voici ce que ces décisions signifient concrètement pour votre organisation.

Un bilan 2025 historique : 487 millions d’euros d’amendes

L’année 2025 restera dans les annales de la protection des données. La CNIL a prononcé 83 sanctions pour un montant total de 486 839 500 euros — contre 55,2 millions en 2024. Une multiplication par neuf du montant des amendes en un an.

Deux décisions expliquent l’essentiel de cette envolée : Google (325 millions d’euros) et Shein (150 millions d’euros), sanctionnés tous deux le 3 septembre 2025 pour des manquements aux règles applicables aux cookies et traceurs publicitaires. À elles seules, ces deux amendes représentent 98 % du montant total.

Mais au-delà de ces têtes d’affiche, la CNIL a rendu 259 décisions au total en 2025 : 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Parmi les 83 sanctions, 67 ont été prononcées dans le cadre de la procédure simplifiée — un dispositif créé en 2022 qui permet de traiter plus rapidement les dossiers les moins complexes.

Les trois thématiques les plus sanctionnées en 2025

Les trois grands sujets de contentieux sont révélateurs des priorités de la CNIL :

Les cookies et traceurs. 21 organismes sanctionnés pour dépôt de cookies sans consentement, information insuffisante ou non-prise en compte du refus. Le plan d’action cookies initié en 2019 continue de produire ses effets avec des amendes de plus en plus lourdes.

La vidéosurveillance des salariés. 16 organismes sanctionnés pour des dispositifs de surveillance disproportionnés ou insuffisamment encadrés. Un sujet en pleine expansion avec la généralisation du télétravail et des outils de monitoring.

La sécurité des données. Des manquements à l’article 32 du RGPD qui continuent d’alimenter le contentieux, comme en témoignent les premières décisions de 2026.

Les sanctions majeures début 2026

Free et Free Mobile : 42 millions d’euros (janvier 2026)

Le 13 janvier 2026, la CNIL a prononcé deux sanctions distinctes : 27 millions d’euros pour Free Mobile et 15 millions pour Free, soit 42 millions d’euros au total.

Les faits remontent à octobre 2024, lorsqu’un pirate informatique a réussi à s’infiltrer dans les systèmes d’information des deux sociétés. Il a accédé aux données personnelles liées à 24 millions de contrats d’abonnés, incluant les IBAN des personnes clientes des deux entités.

La CNIL a relevé deux manquements principaux :

La procédure d’authentification VPN des employés n’était pas suffisamment robuste. Concrètement, l’accès distant au réseau interne ne bénéficiait pas d’une authentification multifacteur (MFA), ce qui a facilité la compromission initiale.

Les mesures de détection des comportements anormaux sur les systèmes d’information étaient inefficaces. Les exfiltrations massives de données n’ont pas déclenché d’alerte en temps utile.

Dans mon expérience de conseil auprès d’entreprises de cette taille, ces deux failles sont malheureusement courantes. L’absence de MFA sur les accès VPN reste l’une des vulnérabilités les plus exploitées, et la gestion des incidents de sécurité nécessite des outils de détection calibrés sur les volumes de données réellement traités.

France Travail : 5 millions d’euros (janvier 2026)

Le 22 janvier 2026, France Travail a été sanctionné de 5 millions d’euros pour des manquements à ses obligations de sécurité des données.

Cette décision fait suite à la cyberattaque survenue au premier trimestre 2024, au cours de laquelle des acteurs malveillants ont exploité des failles dans les systèmes d’information de France Travail et de ses structures partenaires comme Cap Emploi. Les données exposées comprenaient les numéros de sécurité sociale, adresses email, adresses postales et numéros de téléphone des demandeurs d’emploi.

Trois défaillances de sécurité ont été identifiées : des mécanismes d’authentification insuffisamment robustes pour l’accès aux systèmes, des capacités de journalisation et de détection d’anomalies lacunaires, et des droits d’accès utilisateurs trop larges augmentant l’exposition des données.

Rappel : les grandes sanctions 2025

Pour replacer ces décisions dans leur contexte, voici les sanctions les plus significatives prononcées en 2025, en dehors de Google et Shein :

Criteo a été condamné à 40 millions d’euros pour ciblage publicitaire non conforme. Amazon France Logistique s’est vu infliger 32 millions d’euros pour surveillance excessive des salariés — amende ensuite réduite à 15 millions par le Conseil d’État le 23 décembre 2025. Clearview AI a dû payer 5,2 millions d’euros au titre de la liquidation de l’astreinte prononcée en 2022, après avoir refusé de se conformer à l’injonction de la CNIL.

Ce que ces sanctions révèlent : les axes de contrôle prioritaires

La sécurité des données, un incontournable

Les décisions Free et France Travail confirment une tendance lourde : la CNIL considère désormais que certaines mesures de sécurité sont des prérequis non négociables. L’authentification multifacteur, la segmentation des droits d’accès et la journalisation des événements de sécurité ne sont plus des bonnes pratiques — ce sont des exigences dont le non-respect entraîne des sanctions.

À partir de 2026, le plan stratégique 2025-2028 de la CNIL indique explicitement que l’absence de MFA sur les grandes bases de données sensibles pourra justifier une sanction. C’est un signal clair pour toutes les organisations qui traitent des volumes importants de données personnelles.

L’intelligence artificielle, nouveau terrain de contrôle

Le plan stratégique 2025-2028 de la CNIL place l’intelligence artificielle au cœur de ses priorités. Les axes de travail pour 2026 portent notamment sur les données utilisées pour entraîner les modèles d’IA, les risques liés aux deepfakes et aux usages automatisés, ainsi que les systèmes d’IA manipulant des données sensibles ou prenant des décisions automatisées.

La CNIL a également lancé le projet PANAME (Privacy AuditiNg of Ai ModEls) en partenariat avec l’ANSSI, qui vise à développer des outils d’audit permettant d’évaluer si un modèle d’IA traite ou non des données personnelles. Pour les organisations déployant des solutions d’IA, la question de la conformité RGPD de ChatGPT et des autres outils d’IA générative devient incontournable.

La procédure simplifiée, un accélérateur de sanctions

Avec 67 sanctions sur 83 prononcées via la procédure simplifiée en 2025, ce mécanisme est devenu le mode opératoire principal de la CNIL. Il permet de sanctionner plus rapidement les manquements courants (absence de politique de cookies, défaut de réponse aux droits des personnes, vidéosurveillance non conforme) avec des amendes pouvant atteindre 20 000 euros.

Pour les PME, cela signifie que même les infractions considérées comme « mineures » font désormais l’objet de poursuites systématiques. Le temps où la CNIL ne sanctionnait que les grands groupes est révolu.

Leçons pratiques : 5 actions concrètes pour réduire le risque

Ayant travaillé plus de 20 ans dans le domaine de la conformité des données, je constate que les organisations sanctionnées partagent souvent les mêmes faiblesses. Voici les cinq actions prioritaires à mettre en œuvre.

1. Déployer l’authentification multifacteur sur tous les accès distants. C’est le dénominateur commun des sanctions Free et France Travail. Le MFA doit couvrir les VPN, les accès cloud, les outils d’administration et toute interface permettant d’accéder à des données personnelles à distance.

2. Auditer vos droits d’accès. Le principe du moindre privilège n’est pas une recommandation théorique. France Travail a été sanctionné précisément parce que des utilisateurs disposaient de droits trop larges. Passez en revue les comptes à privilèges, supprimez les accès orphelins et mettez en place des revues d’habilitations trimestrielles.

3. Vérifier votre conformité cookies. Avec 21 sanctions en 2025 et des amendes allant jusqu’à 325 millions d’euros pour Google, la conformité de votre bandeau cookies est un sujet de risque majeur. Assurez-vous que le refus est aussi simple que l’acceptation et que le dépôt de traceurs ne précède pas le recueil du consentement.

4. Mettre en place une procédure de gestion des fuites de données. Les violations sont inévitables. Ce qui fait la différence devant la CNIL, c’est votre capacité à détecter rapidement l’incident, à le notifier dans les 72 heures et à en limiter les conséquences.

5. Lancer votre mise en conformité RGPD de façon structurée. Si votre registre des traitements est incomplet, si vos mentions d’information sont absentes ou si vos contrats de sous-traitance ne respectent pas l’article 28, il est temps de passer à l’action. C’est ce type de travail de mise en conformité structuré que Legiscope automatise, en permettant de piloter l’ensemble du processus depuis une plateforme unique.

Ce qu’il faut retenir

• L’année 2025 a établi un record historique avec 487 millions d’euros d’amendes CNIL, principalement portés par les sanctions Google (325 M€) et Shein (150 M€) pour non-conformité cookies.
• Début 2026, Free (42 M€) et France Travail (5 M€) ont été sanctionnés pour des failles de sécurité, notamment l’absence d’authentification multifacteur et des droits d’accès trop larges.
• La procédure simplifiée représente désormais 80 % des sanctions, ce qui expose les PME à un risque accru de poursuites même pour des manquements courants.
• La CNIL place l’intelligence artificielle et la cybersécurité au cœur de ses priorités 2026, avec le projet PANAME d’audit des modèles d’IA.
• Les actions prioritaires : MFA sur tous les accès distants, audit des droits d’accès, conformité cookies, procédure de gestion des violations et mise en conformité structurée.

FAQ

Quel est le montant maximal d’une amende CNIL ?

En procédure ordinaire, la CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu (Art. 83 RGPD). En procédure simplifiée, le plafond est fixé à 20 000 euros.

Les PME sont-elles vraiment exposées aux sanctions CNIL ?

Oui. Avec 67 sanctions prononcées en procédure simplifiée en 2025, la CNIL cible désormais des organismes de toutes tailles. Les manquements les plus fréquemment sanctionnés chez les PME concernent la vidéosurveillance non conforme, l’absence de réponse aux demandes de droit d’accès et les défauts de sécurité élémentaires.

Quelles sont les priorités de contrôle de la CNIL en 2026 ?

Le plan stratégique 2025-2028 de la CNIL identifie quatre axes prioritaires : l’intelligence artificielle, la protection des mineurs, la cybersécurité et les usages du quotidien numérique. En 2026, l’accent est mis sur l’audit des systèmes d’IA, l’exigence de MFA pour les bases de données sensibles et la poursuite du plan d’action cookies.

Comment réagir en cas de contrôle de la CNIL ?

Coopérez pleinement avec les agents de contrôle, désignez un interlocuteur unique (idéalement votre DPO), rassemblez votre documentation de conformité (registre, AIPD, contrats sous-traitants) et ne supprimez aucun document. La coopération est un facteur atténuant pris en compte par la formation restreinte lors de la détermination du montant de la sanction.