RGPDIT
Autodiagnostic gratuit 01 89 48 03 70

Contrôles CNIL et sanctions

Sanctions RGPD

Le risque est concret. La CNIL contrôle, met en demeure, prononce des injonctions et peut infliger des amendes d’un niveau très élevé. Il faut surtout comprendre ce qui expose réellement un site et ce qui doit être corrigé rapidement.

Voir les audits RGPD Parler d’un besoin urgent
Chiffres récentsPouvoirs réels de la CNILDécisions marquantes

Les chiffres qui comptent vraiment

Les bilans officiels de la CNIL montrent une action répressive désormais installée, avec une montée très nette des sanctions et des mesures correctrices.

202583

sanctions prononcées

2025486,8 M€

amendes cumulées

2025143

mises en demeure

202531

rappels aux obligations légales

Évolution 2023 → 2025

Le nombre de sanctions est passé de 42 en 2023 à 87 en 2024, puis 83 en 2025. Le niveau d’amendes a fortement bondi en 2025.

Sanctions
2023 · 42
2024 · 87
2025 · 83
Mesures correctrices totales
2023 · 243
2024 · 331
2025 · 259
Année Contrôles Sanctions Amendes cumulées Mises en demeure Rappels / avertissements
2023 340 42 89 179 500 € 168 33 rappels
2024 321 87 55 212 400 € 180 64 rappels
2025 n. d. dans le bilan sanctions 83 486 839 500 € 143 31 rappels + 2 avertissements

Ce que la CNIL peut faire en pratique

La lecture utile d’une page sanctions n’est pas seulement le montant maximal de l’amende. Il faut comprendre toute la chaîne de pression réglementaire.

Contrôler

Contrôles sur place, en ligne, sur pièces ou sur audition. En 2024, la CNIL a conduit 321 contrôles.

Mettre en demeure

Demander une mise en conformité dans un délai donné, avec publicité possible selon la gravité des manquements.

Rappeler ou avertir

Utiliser des mesures correctrices plus légères lorsque la situation le permet, sans pour autant banaliser le risque.

Enjoindre sous astreinte

Ordonner des corrections précises, parfois avec astreinte financière en cas de retard ou de non-exécution.

Limiter un traitement

Limiter temporairement ou définitivement un traitement, suspendre des flux de données ou ordonner le respect des droits.

Sanctionner

Prononcer des amendes administratives effectives, proportionnées et dissuasives, avec publicité possible de la décision.

Repère juridique L’article 58 du RGPD fixe les pouvoirs correcteurs de l’autorité de contrôle. L’article 83 encadre les amendes administratives, avec des plafonds pouvant atteindre 10 M€ ou 20 M€, ou 2 % ou 4 % du chiffre d’affaires annuel mondial selon la catégorie du manquement.

Décisions marquantes à garder en tête

Les décisions récentes montrent que les sujets les plus exposés restent les cookies et traceurs, la sécurité des données, les violations massives et, plus largement, l’écart entre le visible et la réalité technique.

03 septembre 2025Cookies et traceurs

GOOGLE et SHEIN

La CNIL a prononcé des amendes de 325 M€ et 150 M€ notamment pour le non-respect des règles sur les traceurs. Le message est clair : les cookies restent un terrain de sanction majeur.

24 décembre 2025Sécurité applicative

NEXPUBLICA FRANCE

Amende de 1,7 M€ pour des mesures de sécurité insuffisantes sur un logiciel de gestion de la relation avec les usagers dans le secteur social.

14 janvier 2026Violation de données

FREE MOBILE et FREE

42 M€ d’amendes cumulées après une fuite massive de données et des insuffisances de sécurité jugées graves.

29 janvier 2026Secteur public

FRANCE TRAVAIL

Amende de 5 M€ et injonction après un incident majeur de sécurité touchant les données de personnes en recherche d’emploi.

Ce qui met un site en risque rapide

Les sanctions lourdes ne naissent pas d’un seul texte manquant. Elles se nourrissent d’un faisceau de faiblesses visibles, techniques et documentaires.

Le visible non conforme

  • bandeau cookies trompeur ou incohérent ;
  • formulaires trop gourmands ;
  • informations lacunaires ou contradictoires ;
  • absence de canal clair pour les droits.

La technique faible

  • scripts tiers mal maîtrisés ;
  • sécurité insuffisante ;
  • gestion trop faible des accès et des incidents ;
  • écart entre discours publié et fonctionnement réel.

La preuve absente

  • pas de logique documentaire solide ;
  • base légale mal qualifiée ;
  • pas de trajectoire de correction démontrable ;
  • réponse brouillonne en cas de contrôle ou de plainte.

Ce qu’un audit utile doit remettre à plat

L’enjeu n’est pas d’accumuler des textes. Il faut hiérarchiser le risque, corriger ce qui expose le plus, remettre la documentation en cohérence et stabiliser la méthode.

1

Lecture du risque visible

Ce qu’un visiteur, un concurrent, un journaliste ou la CNIL peuvent déjà constater sur le site.

2

Confrontation documentaire

Ce que disent réellement les pages publiées, les parcours de collecte, les traceurs et les documents internes ou contractuels.

3

Plan d’action priorisé

Corrections immédiates, corrections importantes, remédiations plus profondes et trajectoire démontrable en cas de contrôle.

La bonne réponse n’est pas d’attendre la première alerte sérieuse

Quand les défauts sont visibles, répétitifs ou mal documentés, la marge de manœuvre se réduit. Un audit bien mené permet surtout d’identifier ce qui expose le plus vite, puis de corriger dans le bon ordre.

Vérifier le site Parler du risque