Introduction :
L’année 2025 illustre la volonté de la CNIL d’affirmer une politique de sanctions rigoureuse et dissuasive, avec des sanctions d’ampleur sans précédent. L’autorité française de protection des données personnelles opère un changement d’échelle marqué, tant par le niveau des amendes prononcées que par l’exigence attachée aux manquements constatés.
Des amendes record qui témoignent d'un changement de cap :
Les chiffres parlent d'eux-mêmes : la CNIL n'hésite plus à infliger des sanctions d'une ampleur inédite.
Parmi les décisions les plus marquantes de 2025 figurent :
- 325 millions d'euros contre GOOGLE, répartis entre Google LLC (200 millions d'euros) et Google Ireland Limited (125 millions d'euros)
- 150 millions d'euros contre SHEIN
- 1,7 millions d'euros contre NEXPUBLICA
- 1,5 millions d'euros contre AMERICAN EXPRESS
- 1 million d’euros contre MOBIUS SOLUTIONS LTD
- 900 000 contre SOLOCAL MARKETING SERVICES
- 750 000 euros contre les publications CONDÉ NAST
En 2025, le montant moyen des sanctions prononcées par la CNIL en procédure ordinaire atteint environ 44 millions d’euros contre 4 millions en 2024 : autrement dit, en moyenne, les montants des sanctions ont été multipliés par 10 entre 2024 et 2025.
Ces montants reflètent une volonté claire de l’autorité de renforcer l’effet dissuasif des sanctions et de rappeler à tous les acteurs économiques l’importance du respect des règles de protection des données.
Autre évolution marquante : pour la première fois, certaines des sanctions prononcées par la formation restreinte sont supérieures au montant initialement proposé par le rapporteur (sanctions CONDÉ NAST et MOBIUS SOLUTION).
Le durcissement du positionnement de la CNIL se confirme en 2026 comme le démontrent les sanctions de la CNIL en date du 14 janvier 2026, qui ont condamné FREE MOBILE et FREE à des amendes respectives de 27 millions d'euros et 15 millions d'euros.
En bref, la CNIL affiche en 2025 une fermeté inédite, traduisant une politique de sanctions beaucoup plus sévère que les années précédentes.
Un niveau d’exigence inédit attendu par la CNIL :
Au-delà des montants records, c'est le niveau d'exigence imposé par la CNIL qui marque une rupture notable. L'autorité adopte désormais une approche particulièrement rigoureuse, voire inflexible, qui se manifeste à plusieurs niveaux.
La régularisation ne suffit plus à éviter les sanctions lourdes
Les sanctions prononcées en 2025 démontrent en outre que la régularisation des manquements ne constitue plus un facteur significatif d'atténuation de la sanction.
À titre d’exemple, la CNIL a prononcé des sanctions relativement lourdes à l’encontre d'AMERICAN EXPRESS et des PUBLICATIONS CONDÉ NAST, malgré la correction complète des manquements constatés en cours de procédure.
L'autorité considère que le manquement est caractérisé pour le passé et sanctionne avec fermeté, malgré la prise rapide de mesures correctives.
Bien que le Conseil d’État ait admis, dans l’affaire Optical Center, que la célérité avec laquelle la société avait mis en œuvre des mesures correctrices pouvait justifier une réduction du montant de l’amende prononcée par la CNIL, cette appréciation demeure discrétionnaire et, à la lecture des décisions récentes, les montants infligés traduisent une prise en compte très limitée, voire marginale, des diligences correctrices, révélatrice d’une tolérance désormais fortement réduite.
Vers un standard de conformité RGPD tolérance zéro
L’exigence renforcée de la CNIL se manifeste également dans son interprétation extensive des obligations du RGPD, révélant un maximalisme assumé.
L’illustration la plus nette concerne l’obligation de sécurité de l’article 32 du RGPD, pourtant qualifiée d’obligation de moyens, que la CNIL tend à appréhender comme une quasi-obligation de résultat.
La CNIL se fonde sur le principe de « défense en profondeur » qui consiste à multiplier et superposer des mécanismes de sécurité indépendants, répartis à différents niveaux d’un système, afin de réduire la probabilité qu’une défaillance ou une attaque compromette l’ensemble du système. Ainsi, si une couche est contournée, les suivantes doivent permettre de détecter, ralentir, contenir ou bloquer l’attaque.
En pratique, cette exigence est particulièrement difficile, voire impossible à satisfaire, dans un contexte où les violations de données se multiplient et où aucune mesure de sécurité n’est infaillible.
Cette exigence de la CNIL révèle la volonté d’imposer un standard de conformité maximal : des efforts de mise en conformité sont désormais insuffisants. L'autorité impose une tolérance zéro et attend une conformité exemplaire, immédiate et complète.
Une stratégie répressive ambitieuse mais imprévisible
Le durcissement spectaculaire des sanctions prononcées par la CNIL en 2025, qui témoigne indéniablement d'une volonté affirmée de faire du RGPD un texte véritablement contraignant, se traduit en pratique par une imprévisibilité préoccupante pour les acteurs économiques.
La CNIL cherche manifestement à s’imposer comme une autorité répressive de premier plan, infligeant des amendes à hauteur de centaines de millions d'euros.
Pour autant, contrairement à l'Autorité de la concurrence qui s'appuie sur une grille de calcul détaillée et une méthodologie éprouvée s’agissant du calcul des amendes, la CNIL évolue dans un cadre nettement moins structuré : les lignes directrices 04/2022 du Comité européen de la protection des données (CEPD) sur le calcul des amendes ne sont pas explicitement appliquées dans les délibérations, la justification des montants retenus au regard des critères de l’article 83 du RGPD n’est pas exigée par le Conseil d’État (CE, 10e/9e, 19 juin 2020, n° 430810), et la motivation des délibérations reste parfois très succincts au regard des montants en jeu.
Cette situation engendre une importante insécurité juridique : alors que les montants des sanctions atteignent des niveaux sans précédent, les critères permettant d'anticiper leur quantum demeurent largement opaques. Les entreprises se trouvent ainsi dans l'incapacité de calibrer précisément leur risque juridique et financier, même lorsqu'elles déploient des efforts significatifs de mise en conformité.
En définitive, le régime répressif de la CNIL en 2025 se caractérise par une combinaison inédite de sévérité maximale et d'incertitude juridique sur le plan de la méthodologie du calcul des amendes.
Conclusion : anticiper le nouveau paradigme des sanctions CNIL
Les entreprises doivent désormais intégrer un risque de sanction élevé dans leur gestion de la conformité RGPD. La CNIL a franchi un cap décisif en 2025, imposant des amendes d'une ampleur inédite et appliquant un niveau d'exigence maximal. L'enjeu pour l'autorité sera de concilier cette sévérité accrue avec une prévisibilité suffisante du cadre répressif.
Recommandations pour les entreprises face au durcissement des sanctions CNIL
- Repensez la gouvernance des risques : élevez le risque RGPD au niveau des risques stratégiques de l'entreprise en impliquant la direction générale et en intégrant systématiquement les enjeux RGPD dans les décisions stratégiques et opérationnelles.
- Renforcez le niveau de sécurité des données : adoptez une approche de défense en profondeur et renforcez vos dispositifs de sécurité.
- Renforcez les compétences internes et les moyens du DPO : dotez votre délégué à la protection des données de ressources suffisantes et formez vos équipes pour créer une véritable culture de la protection des données à tous les niveaux de l'organisation, en particulier s’agissant de la sécurité des données.
- Provisionnez un risque financier élevé : les montants des sanctions ont été multipliés par 10 en moyenne entre 2024 et 2025. Réévaluez vos provisions et votre assurance cyber en conséquence.
