486 millions d’euros d’amendes en 2025. C’est le bilan des sanctions prononcées par la CNIL l’an dernier — en augmentation vertigineuse par rapport aux 55 millions de 2024. Et ce qui change vraiment, c’est que la CNIL ne cible plus seulement les géants du numérique. Les PME sont désormais dans le viseur.
Un tournant historique pour le RGPD en 2025
Jusqu’à récemment, beaucoup de PME se pensaient à l’abri des contrôles CNIL : trop petites pour intéresser l’autorité. Ce raisonnement est désormais caduc. En 2025, 32 % des entreprises contrôlées étaient des PME ou TPE, grâce notamment à la procédure simplifiée qui permet à la CNIL d’agir rapidement sur des dossiers courants — cookies non conformes, surveillance disproportionnée des salariés, sécurité des mots de passe insuffisante.
- ⚖️ 83 sanctions et 143 mises en demeure prononcées en France en 2025
- 💶 486 M€ d’amendes cumulées par la CNIL (dont Google 325 M€, TikTok et Shein)
- 📈 +107 % de sanctions par rapport à 2024
- 🏢 32 % des contrôles concernaient des PME/TPE
- 📬 5 629 notifications de violations de données déclarées à la CNIL en 2024 (+20 %)
Les 3 sujets qui concentrent les sanctions
1. Les cookies et le consentement
Bannière absente, refus rendu difficile, cookies déposés avant consentement… C’est la cause n°1 des sanctions simplifiées. La CNIL utilise des outils automatisés pour scanner les sites web — aucune entreprise n’est à l’abri.
2. La vidéosurveillance des salariés
En 2025, 16 organisations ont été sanctionnées pour surveillance disproportionnée de leurs employés. Filmer en continu ou sans information préalable des salariés constitue une infraction, même pour une petite structure.
3. La sécurité des données personnelles
Mots de passe trop faibles, données clients non chiffrées, sous-traitants non vérifiés… La CNIL sanctionne désormais l’absence de gouvernance de la conformité dans la durée. Free Mobile et Free ont ainsi écopé de 27 et 15 millions d’euros en janvier 2026 suite à une fuite de données.
Ce que risque concrètement une PME
La procédure simplifiée de la CNIL permet de prononcer des amendes jusqu’à 20 000 € rapidement et discrètement (sans publication). La procédure ordinaire peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Mais au-delà de l’amende, une sanction RGPD peut aussi entraîner une injonction de mise en conformité sous astreinte, ou une suspension de traitement de données — ce qui peut paralyser votre activité.
Le plan d’action en 5 points pour être en règle
Listez toutes les données personnelles que vous traitez : clients, RH, fournisseurs. C’est l’obligation de base du RGPD.
Votre site doit avoir une bannière cookies conforme et une politique de confidentialité à jour.
Chiffrement, mots de passe robustes, sauvegardes régulières, accès limités au strict nécessaire.
Ajoutez des clauses RGPD dans vos contrats avec les prestataires qui accèdent à vos données clients.
En cas de fuite de données, vous avez 72 heures pour notifier la CNIL. Sans plan préparé, ce délai est impossible à tenir.