Une année marquée par une politique répressive ciblée et intensifiée
L'année 2025 marque un tournant dans l'action répressive de la CNIL. La formation restreinte a prononcé des sanctions dans 13 affaires en procédure ordinaire pour un montant total approchant 500 millions d'euros, soit dix fois plus qu'en 2024 (54 millions d'euros).
Au-delà du montant record, c'est la concentration thématique de ces sanctions qui retient l'attention : cookies, sécurité des données et prospection commerciale constituent le triptyque quasi exclusif des manquements sanctionnés, tant en volume qu'en montant.
Cette concentration s'explique en partie par les contrôles ciblés menés entre 2022 et 2024, notamment sur la prospection commerciale et le traçage des utilisateurs par les applications mobiles, qui ont donné lieu à des sanctions prononcées en 2025, concentrées principalement sur les cookies publicitaires et la prospection commerciale.
Parallèlement, plusieurs affaires consécutives à des violations de données ont débouché sur des sanctions lourdes en matière de sécurité.
Avec des amendes oscillant entre 80 000 € et 325 millions d'euros, ces décisions dessinent les contours d'une politique répressive ciblée.
Cookies, sécurité, prospection commerciale au cœur de la répression
Cookies et consentement : un contrôle technique renforcé
Les sanctions relatives aux cookies ont visé des acteurs majeurs :
· Google (325M d’€)
· Shein (150M d’€)
· Les publications Condé Nast (750 000 €)
· American Express (1,5M d’€)
Ces décisions témoignent d'une évolution notable dans la méthodologie de contrôle de la CNIL, qui procède désormais à une analyse technique approfondie de l'effectivité des choix utilisateurs.
Concrètement, la CNIL examine les requêtes HTTP échangées entre le navigateur de l'utilisateur et les serveurs (de l'éditeur ou de tiers), ce qui lui permet de constater factuellement :
· le dépôt de cookies avant consentement,
· la lecture et la transmission automatique de cookies,
· l’ineffectivité du refus.
Cette approche transforme l'appréciation du consentement en un contrôle factuel et binaire : soit les cookies sont bloqués avant consentement, soit ils ne le sont pas. Soit le refus est effectif instantanément, soit il ne l'est pas.
En pratique, le non-respect des lignes directrices et de la recommandation cookies de la CNIL est devenu l'un des manquements les plus simples à établir pour l'autorité — et l'un des plus coûteux pour les entreprises.
L'analyse technique des interfaces de recueil du consentement, des paramétrages par défaut et des flux de données permet à la CNIL de documenter objectivement les infractions, qui peuvent difficilement être contestées sur le fond.
Les entreprises se trouvent ainsi confrontées à des manquements démontrés par des captures d'écran, des logs de requêtes HTTP et des audits d'interfaces, qui laissent peu de place au débat juridique sur l'interprétation des obligations.
Sécurité des données : vers une obligation quasi de résultat
Les affaires Free et Free Mobile (42M d’€) – examinées par la formation restreinte en décembre 2025 avec des décisions publiées en janvier 2026 – illustrent une interprétation de plus en plus extensive de l'obligation de sécurité prévue à l'article 32 du RGPD.
Cette approche se fonde sur l’exigence d’une « défense en profondeur » qui, dans les faits, se rapproche d'une obligation de résultat. Pour échapper à la sanction, il faut établir un niveau de protection particulièrement élevé et documenté.
La tendance qui se dégage est préoccupante pour les responsables de traitement : la survenance d'une violation de données semble démontrer de manière irréfragable l'insuffisance des mesures de sécurité.
Certes, la CNIL rappelle régulièrement qu'une violation de données ne suffit pas, en soi, à caractériser un manquement à l'obligation de sécurité. Toutefois, en pratique, la violation de données entraîne quasi systématiquement une sanction, car elle déclenche un contrôle approfondi qui, compte tenu des exigences particulièrement élevées de la CNIL, révélera presque toujours des mesures jugées insuffisantes.
Prospection commerciale : courtage et mutualisation de données dans le viseur
Les sanctions visant SoLocal Marketing Services (900 000 €) et Caloga (80 000 €) ont ciblé des pratiques de prospection commerciale, notamment dans le secteur du courtage de données(data brokers).
Ces sanctions s'inscrivent dans le cadre de la thématique prioritaire de contrôle de la CNIL sur la prospection commerciale lancée en 2022, qui s'est intéressée aux pratiques des professionnels du secteur, en particulier ceux qui procèdent à la revente de données et aux nombreux intermédiaires de cet écosystème.
Le schéma sanctionné :
1. Des données collectées via des jeux-concours en ligne par des sociétés primo-collectantes
2. Transmises à des courtiers qui les intègrent dans leurs bases
3. Pour réaliser des opérations de prospection ou les revendre à leurs clients annonceurs
La CNIL a sanctionné un double défaut de consentement :
→ Absence de consentement valable pour démarcher les prospects : les formulaires de jeux-concours ne permettaient pas de recueillir un consentement libre et univoque (boutons d'acceptation mis en valeur, refus noyé en petits caractères).
→ Absence de consentement pour transmettre les données aux partenaires : la CNIL rappelle que, dans l'écosystème du courtage en données, tous les traitements doivent reposer sur le consentement, et non sur l'intérêt légitime.
Point d'attention : le Conseil d'État a récemment renvoyé à la CJUE, dans l'affaire Canal+ (CE, 5 mai 2025 n°490202), la question cruciale du consentement en cascade. Un consentement donné à un primo-collectant pour transmettre des données à une « catégorie » de destinataires (comme les « partenaires ») peut-il être considéré comme suffisamment spécifique pour permettre à tout membre de cette catégorie de procéder à de la prospection, ou chaque destinataire doit-il recueillir un nouveau consentement ?
Cette question, au cœur même des pratiques sanctionnées par la CNIL, démontre que le cadre juridique applicable au courtage de données n'est pas aussi non-équivoque que ne le suggère l'autorité dans ses décisions.
Stratégie répressive de la CNIL : privilégier des manquements caractérisés de manière simple, sur la base d'éléments techniques accessibles en ligne
La concentration des sanctions de la CNIL sur ces trois thématiques révèle une logique pragmatique : privilégier les manquements dont la caractérisation est relativement simple tant d'un point de vue technique que juridique.
Contrairement à des notions comme la proportionnalité du traitement ou le choix de la base légale — qui relèvent d'une appréciation juridique contextuelle — les violations en matière de cookies, de sécurité ou de prospection commerciale se prêtent à une démonstration factuelle.
Le Conseil d'État vient d'illustrer cette distinction en réduisant de moitié la sanction Amazon (de 32 à 15 millions), le traitement fondé sur l'intérêt légitime n'étant pas jugé disproportionné (CE, 23 décembre 2025, n°492830).
Cette approche traduit une forme de rationalisation des moyens de contrôle : face à l'ampleur des enjeux et à la multiplicité des acteurs, l'autorité concentre ses ressources sur les manquements les plus aisément caractérisables et les plus susceptibles de faire jurisprudence.
Difficulté pratique pour les entreprises : pour caractériser ces manquements, la CNIL s'appuie massivement sur de la soft law — ses propres lignes directrices et recommandations (notamment en matière de cookies), mais aussi des référentiels techniques très spécialisés, comme certaines recommandations de l'ANSSI en matière de sécurité.
Or, ces textes, qui n'ont pas de valeur contraignante au sens strict, sont particulièrement nombreux, évolutifs et touffus.
Le recours à des standards techniques évolutifs soulève une difficulté pratique : les entreprises, mêmes matures et structurées, peinent à bénéficier d'une vision consolidée des mesures techniques attendues.
Reste que, sur le plan opérationnel, cette stratégie présente une efficacité redoutable : en s'appuyant sur des référentiels précis et documentés, la CNIL rend ses décisions difficilement contestables sur le plan factuel.
Les entreprises se trouvent ainsi face au choix suivant : contester ces exigences au risque d'un contentieux long et coûteux ou s'y conformer par principe de précaution. Dans les faits, la seconde option s'impose le plus souvent, faisant de la soft law de la CNIL une quasi-hard law en pratique.
Conformité RGPD 2026 : trois chantiers prioritaires pour les entreprises
Face à la stratégie répressive de la CNIL, il serait pertinent pour les entreprises de concentrer leurs efforts sur une mise en conformité technique et documentée dans trois domaines à haut risque.
Premier chantier : maîtrise technique des cookies et du consentement
La mise en conformité en matière de cookies ne peut plus se limiter à l'affichage d'une bannière cookies standardisée.
Actions concrètes :
→ Identifier et cartographier exhaustivement tous les cookies déposés, lus ou transmis, via un audit des flux HTTP, y compris les traceurs tiers non activement exploités.
→ Garantir l'effectivité immédiate des choix de l’utilisateur: le refus ou le retrait du consentement doit entraîner instantanément le blocage de toute lecture ou écriture de cookies non essentiels, ainsi que l’arrêt des transmissions associées.
→ Conformer les interfaces de recueil du consentement aux lignes directrices de la CNIL : refus aussi simple que l'acceptation, consentement granulaire par finalité, information claire sur les destinataires.
→ Documenter chaque cookie de manière fine (finalité, durée, destinataires, base juridique) afin de démontrer la conformité en cas de vérification par l’autorité de contrôle.
Point d'attention : le recours au TCF de l'IAB ne dispense pas d'un contrôle strict de la qualité et de l'effectivité de l'information fournie.
Deuxième chantier : « défense en profondeur » et documentation de la sécurité
L'exigence quasi absolue de sécurité impose une stratégie multicouche et une traçabilité complète des mesures déployées.
Actions concrètes :
→ Déployer une défense en profondeur combinant de multiples mécanismes de sécurité indépendants, répartis à différents niveaux d’un système et pensés comme remparts supplémentaires en cas de défaillance d'une autre couche de sécurité.
→ Constituer une documentation technique exhaustive des mesures de sécurité mises en œuvre, de leur niveau de protection et de leur conformité aux standards de l'état de l'art (recommandations ANSSI, normes ISO27001, etc.).
→ Formaliser une procédure de gestion des violations de données permettant une détection rapide, une évaluation des risques, une notification dans les délais réglementaires (72 heures) et une documentation complète de l'incident et des mesures correctives.
Point clé : cette documentation sera déterminante en cas de violation de données pour démontrer le caractère approprié des mesures prises.
Troisième chantier : validité et traçabilité des consentements en matière de prospection commerciale
Les opérations de prospection, particulièrement dans des logiques de mutualisation ou de courtage, appellent une vigilance accrue sur la licéité et la transparence.
Actions concrètes :
→ Cartographier l'ensemble des flux de données clients, en identifiant précisément les sources, les destinataires, les finalités et les bases juridiques de chaque opération de prospection. Cette cartographie doit être mise à jour régulièrement, notamment en cas de nouveaux partenariats commerciaux.
→ Vérifier systématiquement la licéité de chaque campagne de prospection : consentement explicite pour la prospection par voie électronique (e-mail, SMS), intérêt légitime avec balance des intérêts documentée pour la prospection par voie postale ou téléphonique, respect du droit d'opposition.
→ Pour les courtiers et destinataires de données, vérifier concrètement la validité des consentements invoqués à chaque maillon de la chaîne : le responsable de traitement ne peut se fonder sur de simples engagements contractuels de ses partenaires, mais doit s’assurer que les personnes concernées ont valablement consenti, à la fois à être prospectées et, le cas échéant, à la transmission de leurs données à des tiers identifiés ou clairement déterminables. Cela implique d'auditer les formulaires utilisés par les primo-collectants, de s'assurer de la conformité des interfaces de recueil du consentement et de documenter ces vérifications.
→ Sécuriser les formulaires de collecte et les interfaces d’information, en veillant à ce que les choix offerts ne soient ni ambigus ni trompeurs, que les finalités de prospection et les catégories de destinataires soient clairement exposées dès la collecte, et que la présentation des options ne biaise pas l’expression du consentement par des mécanismes de design incitatifs ou déséquilibrés.
Anticiper 2026 : un impératif de conformité opérationnelle
La CNIL publiera prochainement les thématiques prioritaires de contrôle pour l'année 2026.
En attendant, les entreprises ont tout intérêt à considérer que les cookies, la sécurité et la prospection commerciale resteront au cœur de l'action répressive de l'autorité.
Le message aux entreprises est sans équivoque : le triptyque des sanctions CNIL 2025 dessine une stratégie répressive fondée sur des manquements relativement simples à établir via un contrôle en ligne, ne nécessitant pas d’investigations sur place complexes et chronophages.
