<= Revenir à la Lettre d'actualités juridiques
Droit des données
le 13/03/2026
David CONERARDY
Sami HMISSI

Bilan des sanctions CNIL 2025

Le 9 février 2026, la Commission nationale de l’informatique et des libertés (ci-après CNIL) a rendu le bilan de son activité concernant les sanctions et mesures correctives adoptées en 2025. Ainsi, pour l’année 2025, elle a rendu 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements, pour un total de 486.839.500 euros.

 

Le pouvoir de sanction de la CNIL

Tout d’abord, rappelons que la CNIL a un pouvoir de sanction concernant les manquements au règlement général sur la protection des données (ci-après RGPD).

En cas de manquement, la CNIL a la faculté d’adopter différentes sanctions comme le rappel à l’ordre, l’injonction de se mettre en conformité (cette injonction peut être assortie d’une astreinte dont le montant ne peut excéder 100.000 euros par jour de retard), la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation, le retrait d’une certification, la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale, la suspension partielle ou totale de la décision d’approbation des règles d’entreprise contraignantes (BCR) ou encore l’amende administrative ne pouvant excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de la société (pour les manquements les plus graves, ce montant peut s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial).

 

Le bilan des sanctions en 2025

En 2025, parmi les 83 sanctions prononcées par la CNIL, 67 l’ont été par son président ou par un membre de cette formation dans le cadre de la procédure simplifiée et 16 l’ont été par la formation restreinte dans le cadre de la procédure ordinaire.

Ces 83 sanctions sont, pour 78 d’entre elles, des amendes, pour 3 d’entre elles des décisions de liquidation d’astreinte et, pour 2 d’entre elles, des rappels à l’ordre, pour un montant cumulé d’amendes de 486.839.500 euros.

Ces 83 sanctions concernent soixante-deux sociétés, trois professions médicales libérales, trois professions juridiques libérales, un centre de formation à distance d’apprentis, deux associations, une commune, un supermarché, une collectivité territoriale, un groupement d’intérêt économique (ci-après GIE) d’organisation, de développement et de promotion de centres commerciaux, un candidat à l’élection européenne de 2024, un parti politique, quatre candidats aux élections législatives de 2024, un établissement public (ci-après EP) exerçant une activité de gestion locative de logements et deux universités.

Ainsi, pour l’année 2025, la CNIL a sanctionné 9 personnes publiques, ce qui correspond à 10,8 % de personnes publiques (centre de formation, associations, commune, collectivité territoriale, GIE, EP et universités), pour un total de 116.000 euros d’amendes administratives, ce qui correspond à 0,02 % de la somme totale des sanctions infligées cette année.

Pour ces personnes publiques, la CNIL a majoritairement sanctionné des manquements en adressant des amendes administratives, pour certaines assorties d’injonctions.

 

Comparatif avec l’année 2024

Il faut mettre ce résultat en perspective avec le précédent rapport annuel relatif aux sanctions de 2024, qui nous indique que la CNIL a prononcé 87 sanctions pour un total de 55.212.400 euros d’amendes cumulées.

Sur ces 87 sanctions, 12 visaient des personnes publiques (trois établissements publics, trois ministères, deux associations, deux communes, un organisme de formation et un groupement régional), correspondant à 13,8 % des personnes publiques sanctionnées, pour un total de 100.900 euros d’amendes administratives cumulées. Ce montant correspond à 0,18 % des 55.212.400 euros d’amendes cumulées.

Ainsi, de prime abord, il semblerait que la CNIL ait moins sanctionné les personnes publiques en 2025 comparativement à 2024 (10,8 % en 2025 contre 13,8 % en 2024). Pourtant, rapporté au montant brut des sanctions, l’année 2025 a été plus sévère pécuniairement pour les personnes publiques (116.000 euros en 2025 contre 100.900 euros en 2024), ce phénomène étant d’autant plus marqué au regard du nombre moins élevé de personnes publiques sanctionnées en 2025.

Nous pouvons en conclure que la CNIL sanctionne plus durement les personnes publiques en 2025 comparativement à 2024, notamment en sanctionnant pécuniairement de manière systématique les personnes publiques, alors que 5 des 12 personnes publiques visées par des sanctions en 2024 ont subi des rappels à l’ordre.