Ressources
chevron blanc pointant vers la droite
Sanctions 2025 - Chiffre d’affaires groupe

Sanctions CNIL 2025 : impact du chiffre d’affaires mondial

Une lecture stratégique des récentes décisions de la CNIL et de leurs implications pour la gouvernance des données.

Publié par
Joanna Masson
.
30 Oct 2025

Sanctions CNIL 2025 : quand le chiffre d’affaires mondial du groupe détermine le montant de l’amende

L’année 2025 marque un tournant dans la régulation des données personnelles.

Avec des sanctions atteignant 325 millions d'euros contre Google (200 M€ pour Google LLC et 125 M€ pour Google Ireland Limited), 150 millions d'euros contre SHEIN, 900 000 euros contre SOLOCAL ou encore 100 000 euros pour vidéosurveillance illicite, la CNIL franchit un nouveau cap en termes de montants et de fermeté.

Mais au-delà des chiffres, un enseignement majeur se dégage et change profondément l’analyse du risque : le calcul de l'amende sur la base du chiffre d'affaires mondial du groupe, qu’il s’agisse de manquements RGPD ou ePrivacy.

Façade d’un bâtiment administratif français, symbole de la rigueur et de la continuité de l’action publique — à l’image de la posture de la CNIL en 2025.

1. Ce qui change en 2025 : l’application par la CNIL de la jurisprudence européenne

1.1. La notion d’« entreprise » au sens du droit de la concurrence

Le considérant 150 du RGPD précise que :

« Lorsque des amendes administratives sont imposées à une entreprise, ce terme doit, à cette fin, être compris […] conformément aux articles 101 et 102 du TFUE ».

Les lignes directrices du CEPD sur les amendes administratives rappellent que la notion d'entreprise correspond à :

« une unité économique pouvant être formée par la société mère et toutes les filiales concernées ».

La CJUE, dans un arrêt du 5 décembre 2023, a réaffirmé que le montant de l’amende doit être calculé en fonction de la capacité économique réelle du responsable, ce qui conduit à retenir l’unité économique et non l’entité juridique isolée.

1.2. L’application concrète par la CNIL dans les sanctions 2025

Premier exemple : Google (SAN-2025-004)

La formation restreinte souligne :

« Lorsqu'une filiale est détenue à 100% par sa maison mère, il existe une présomption réfragable d’influencedéterminante. […] Il convient de prendre en compte le chiffre d'affaires de lamaison mère afin que l'amende soit effective, proportionnée et dissuasive ».

Et précise :

« ALPHABET Inc. a réalisé plus de 350milliards de dollars de chiffre d’affaires en 2024 ».

En conclusion, la CNIL prend en compte le chiffre d’affaires d’ALPHABET et non celui de Google France ou GIL.

Deuxième exemple : SHEIN (SAN-2025-005)

La CNIL retient également l’unité économique :

« ROADGET BUSINESS PTE LTD détient à100 % INFINITE STYLES SERVICES CO LIMITED. […] Il y a lieu de retenir le chiffre d’affaires de la maison mère du groupe ».

Là encore, la CNIL retient  le chiffre d’affaires mondial de la société singapourienne pour calculer l'amende.

2. Conséquences pour les organisations

2.1. Une exposition financière démultipliée

La logique est désormais claire : même si le manquement est commis par une filiale locale, l’amende peut être calculée sur la base du chiffre d’affaires consolidé du groupe.

2.2. L'assiette ne se limite pas au chiffre d'affaires tiré des manquements

La CNIL le dit expressément dans la décision Google :

« Une limitation de l'assiette au seul chiffre d'affaires tiré des manquements n'est prévue par aucun texte. […]Il y a lieu de s'appuyer sur le chiffre d’affaires total ».

Autrement dit :
→ la gravité du manquement n’est pas liée aux revenus générés,
→ seule compte la capacité économique.

3. Enseignements opérationnels pour les groupes

🔸Réévaluez votre exposition financière

Intégrez dans vos analyses de risques lechiffre d'affaires mondial du groupe, et non plus seulement celui de l'entitéfrançaise ou de la filiale concernée. Une défaillance locale peut désormaiscoûter plusieurs dizaines, voire plusieurs centaines de millions d'euros sivous faites partie d'un groupe international.

🔸Renforcez la gouvernance groupe

Mettez en place des mécanismes de contrôle etde supervision au niveau de la maison mère pour garantir la conformité detoutes les filiales. La présomption d'influence déterminante joue dès lorsqu'une filiale est détenue à 100% par sa maison mère.

🔸Documentez l'autonomie (si applicable)

Si une filiale opère de manière réellementautonome, documentez cette autonomie pour tenter de renverser la présomptiond'influence déterminante de la maison mère. Attention : cette présomption estréfragable mais difficile à renverser.

🔸Traitez les cookies avec le même niveau d’exigence que le RGPD

Les manquements cookies exposent désormais aux mêmes niveaux de sanctions que les manquements RGPD.

Conclusion : une rupture majeure

Les sanctions prononcées par la CNIL en 2025 marquent une rupture : le calcul des amendes sur la base du chiffre d'affaires du groupe, y compris pour les manquements ePrivacy (cookies et prospection électronique), démultiplie l'exposition financière des groupes internationaux.

L'ère des sanctions symboliques est définitivement révolue. La CNIL dispose désormais des outils juridiques et méthodologiques pour prononcer des sanctions réellement dissuasives, calibrées à la taille économique réelle des groupes sanctionnés.

Pour les organisations internationales, la conformité devient un impératif stratégique et budgétaire. Les directions juridiques, DPO et directions générales doivent intégrer cette nouvelle approche dans leur gouvernance, leurs analyses de risques et leurs budgets de conformité.

Quand la conformité devient stratégique, l’expérience du régulateur devient déterminante

Odoné met à profit plus de 20 ans d’expérience pour offrir aux organisations les plus exigeantes un accompagnement d’excellence, conjuguant rigueur, pragmatisme et accessibilité.

Prendre RDV
flèche noire pointant vers la droiteflèche noire pointant vers la droite
Vous avez aimé cet article ?

Partagez-le avec vos collègues ou amis :
Logo bleu FacebookLogo bleu LinkedinLogo bleu X