legal

486 millions d'euros d'amendes : la CNIL publie un bilan 2025 marqué par la fermeté

Loick

10 mars 2026 — 2 min read

Publié le 9 février 2026, le bilan annuel de la Commission nationale de l'informatique et des libertés dresse un tableau chiffré de son activité répressive sur l'année écoulée. Avec 259 décisions rendues et près de 487 millions d'euros d'amendes cumulées, la CNIL confirme une posture d'autorité qui ne laisse plus de place à l'attentisme réglementaire.

Une activité répressive soutenue

Sur les 259 décisions prononcées en 2025, 83 constituent des sanctions formelles, auxquelles s'ajoutent 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les 83 sanctions comprennent 78 amendes, dont 27 assorties d'injonctions sous astreinte, ainsi que trois décisions de liquidation d'astreinte. Seize d'entre elles ont été adoptées par la formation restreinte selon la procédure ordinaire, les 67 autres relevant de la procédure simplifiée mise en place en 2022. Dix décisions ont été rendues publiques.

Les cookies, premier poste de sanctions en valeur

La thématique des cookies et autres traceurs concentre les montants les plus importants. Cinq ans après la publication de ses lignes directrices, la CNIL a sanctionné 21 organismes pour des manquements variés : dépôt de traceurs sans consentement, information insuffisante des utilisateurs, non-prise en compte du refus ou du retrait du consentement. Deux acteurs majeurs ont écopé d'amendes respectives de 325 millions et 150 millions d'euros, soit l'essentiel du montant total annuel.

Vidéosurveillance des salariés et obligations des sous-traitants

Seize organismes ont été sanctionnés pour surveillance vidéo disproportionnée ou dissimulée de leurs employés, en l'absence de circonstances exceptionnelles le justifiant. La CNIL a également rappelé les obligations des sous-traitants : mise en oeuvre de mesures de sécurité adaptées, traitement des données sur instruction du responsable et suppression en fin de relation contractuelle.

Les motifs récurrents de la procédure simplifiée

Dans le cadre de la procédure simplifiée, trois manquements dominent : la sécurisation insuffisante des données personnelles pour 14 organismes, le défaut de coopération avec la CNIL pour 14 autres, et la non-prise en compte des droits des personnes (effacement, opposition, accès) pour 14 décisions supplémentaires. La prospection commerciale et politique a donné lieu à 10 décisions, dont cinq visant des candidats aux élections européennes et législatives de 2024.

Source : CNIL

La France crée le Conseil de l'intelligence artificielle et du numérique pour éclairer les décisions publiques à l'ère de l'IA

Institué par décret le 4 septembre 2025, le Conseil de l'intelligence artificielle et du numérique (CIANum) succède au Conseil national du numérique, actif depuis 2011. Pour sa mandature 2025-2027, l'instance publie une note d'intention structurée autour de trois axes de travail couvrant la souveraineté

Rachat de CyberArk par Palo Alto

Palo Alto Networks a finalisé l’acquisition de CyberArk, faisant de l’Identity Security un pilier central de sa stratégie de « platformization ». L’objectif : sécuriser toutes les identités de l’entreprise humaines, machines et « agentiques », alors que l’identité est devenue la principale voie d’attaque avec l’essor du

L'ENISA publie une méthodologie unifiée pour standardiser les exercices de cybersécurité à l'échelle européenne

Publiée le 16 février 2026, la méthodologie ENISA pour les exercices de cybersécurité offre aux organisations publiques et privées un cadre structuré de bout en bout pour concevoir, conduire et évaluer leurs simulations de crise. Document de référence appelé à évoluer, elle s'impose comme un socle commun pour

L'ANSSI publie son rapport menaces et incidents 2026 concernant l'IA

L'IA générative s'impose dans les modes opératoires offensifs : l'ANSSI dresse un état des lieux inédit Publié le 4 février 2026, le rapport CERTFR-2026-CTI-001 de l'ANSSI constitue la première synthèse française dédiée à l'usage dual de l'IA générative dans