La Cnil établit un record historique d'amendes en 2025 avec près de 487 millions d'euros
La Commission nationale de l'informatique et des libertés (Cnil), l'autorité française chargée de la protection des données personnelles, a annoncé ce lundi avoir infligé un montant record de près de 487 millions d'euros d'amendes en 2025. Ce chiffre spectaculaire, qui s'élève précisément à 486,8 millions d'euros, marque une augmentation considérable par rapport à l'année précédente, où 87 sanctions avaient totalisé 55,2 millions d'euros.
Deux sanctions majeures dopent le bilan annuel
Ce montant particulièrement élevé s'explique principalement par deux sanctions d'envergure prononcées en septembre 2025. Le géant américain de la technologie Google a écopé d'une amende de 325 millions d'euros, tandis que la plateforme asiatique de commerce électronique Shein a été condamnée à payer 150 millions d'euros. Ces deux décisions, qui représentent à elles seules la majeure partie du total, concernent des manquements au respect de la législation française sur les cookies.
Les cookies, ces traceurs numériques essentiels au modèle économique de la publicité en ligne, font l'objet d'un contrôle renforcé de la part de la Cnil depuis plusieurs années. L'autorité insiste sur l'importance du consentement éclairé des utilisateurs, une exigence que de nombreuses entreprises peinent encore à respecter pleinement.
Le consentement de l'utilisateur au cœur des préoccupations
Selon le bilan annuel de la Cnil, 21 sanctions ont été spécifiquement prononcées pour des infractions liées au consentement. Ces manquements incluent le dépôt de cookies sans l'accord de l'utilisateur, l'insuffisance des informations fournies – ce qui empêche un consentement véritablement éclairé – ou encore l'absence de prise en compte effective d'un refus ou d'un retrait de consentement.
« L'impact de ces pratiques pour les internautes est significatif, leurs données étant parfois traitées à leur insu », souligne la Cnil. L'autorité rappelle également que les acteurs sanctionnés ne pouvaient ignorer les règles en vigueur, la communication sur ces obligations ayant été largement diffusée depuis des années.
À la suite de sa condamnation, Shein a annoncé son intention de former un recours devant le Conseil d'État et la Cour de justice de l'Union européenne, qualifiant l'amende de « totalement disproportionnée ».
Autres motifs de sanctions et procédure simplifiée
Au-delà des cookies, la Cnil a également sanctionné 16 organismes en 2025 pour non-respect des règles encadrant la vidéosurveillance des salariés. Par ailleurs, l'autorité précise que les trois principaux motifs de sanction dans le cadre de sa procédure simplifiée sont :
- La sécurisation insuffisante des données personnelles.
- L'absence de coopération avec la Cnil.
- Le non-respect des droits des personnes concernées.
Mise en place en 2022, cette procédure simplifiée concerne les dossiers ne présentant pas de difficulté particulière et permet de prononcer des amendes allant jusqu'à 20 000 euros. En 2025, elle a représenté 67 des 83 sanctions totales prononcées, démontrant son utilisation intensive pour traiter les infractions les plus courantes.
Ce bilan record de la Cnil en 2025 envoie un signal fort aux acteurs économiques quant à la détermination de l'autorité à faire respecter le cadre légal de la protection des données et de la vie privée en France.
