Logo Albacombee
CONTACT
Home
Shop
Checkout
Wishlist
  1. Home
  2. Albacombee

Rapport 2025 de la CNIL : plaintes et sanctions en hausse

Rapport 2025 de la CNIL : plaintes et sanctions en hausse
Rapport 2025 de la CNIL : plaintes et sanctions en hausse

Le 18 mai 2026, la CNIL a publié son rapport annuel pour l’année 2025. Le bilan est sans appel : un nombre de plaintes et de violations de données en hausse, des sanctions à un niveau inédit, et une feuille de route 2026 centrée sur la cybersécurité. Pour les entreprises françaises, ce rapport envoie un signal clair : la régulation s’intensifie, et personne n’est épargné.

Qu’est-ce que le rapport annuel de la CNIL ?

Chaque année, la Commission Nationale de l’Informatique et des Libertés publie un bilan de ses activités. Ce document couvre ses quatre grandes missions : informer et protéger le grand public, accompagner et conseiller les professionnels et les pouvoirs publics, anticiper les évolutions du numérique et innover en la matière, et contrôler et sanctionner les manquements aux exigences en matière de protection des données, qui découlent notamment du règlement général sur la protection des données (RGPD).
L’édition 2025 est particulièrement dense. Elle reflète une institution en transformation, qui monte en puissance sur le front des contrôles et qui intègre désormais la régulation de l’intelligence artificielle dans son périmètre.

5 chiffres clés à retenir

  • 20 150 plaintes reçues soit +10 % vs 2024, un nouveau record
  • 487 M€ d’amendes prononcées, un montant inédit, dont Google (325 M€) et Shein (150 M€)
  • 83 sanctions prononcées, dont des PME, via la procédure simplifiée
  • 6 167 violations de données, soit +9,5 %, 1 violation sur 2 liée à un piratage
  • 50 % des contrôles 2026 seront dédiés à la cybersécurité

Ces chiffres traduisent une tendance de fond : les particuliers connaissent leurs droits et n’hésitent plus à les activer. Les plaintes concernent principalement les télécoms, internet et réseaux sociaux (29 %), le travail et les RH (23 %), et le commerce et immobilier (19 %).

Les manquements les plus sanctionnés

En 2025, les sanctions de la CNIL ont ciblé quatre grandes catégories de manquements :
Les cookies et traceurs non conformes restent en tête du palmarès. Un consentement difficile à refuser, une bannière trompeuse, un opt-out non pris en compte, sont autant de situations qui ont déclenché des procédures. Les décisions contre Google (325 M€) et Shein (150 M€) illustrent l’ampleur des enjeux. Mais la procédure simplifiée, plafonnée à 20 000 €, permet à la CNIL de sanctionner rapidement des organisations de toutes tailles.

La vidéosurveillance excessive des salariés a également été mise en cause, notamment lorsqu’elle ne respecte pas le principe de proportionnalité. La sécurité insuffisante des données et l’absence de réponse aux demandes de droits complètent le tableau.

Le message est clair pour les entreprises : une demande d’accès, d’effacement ou d’opposition mal traitée peut suffire à déclencher un contrôle.

Les violations de données : un phénomène massif

Avec 6 167 violations de données notifiées en 2025, soit une hausse de 9,5 %, le sujet ne faiblit pas. La moitié de ces incidents résultent d’un piratage. Et la quarantaine d’événements ayant touché plus d’un million de personnes chacun illustre l’ampleur que peuvent prendre ces défaillances.

Les secteurs les plus exposés sont l’administration publique (19 %), la santé et l’action sociale (15 %), la banque et l’assurance (12 %), les activités scientifiques et techniques (9 %) et le commerce (8 %). Mais aucun secteur n’est à l’abri, et les prestataires sont très souvent impliqués dans ces incidents.

2026 : la cybersécurité au cœur des contrôles

C’est l’annonce majeure du rapport : en 2026, la CNIL consacrera la moitié de ses contrôles et de ses actions répressives à la sécurité des données. Les priorités sont explicitement définies.
Les organismes ayant subi une violation de données seront ciblés en premier. Suivent ceux faisant l’objet de plaintes, et les acteurs traitant massivement des données sensibles : santé, banque, ressources humaines, éducation.

L’intelligence artificielle entre dans le périmètre RGPD

Avec l’entrée progressive en application du règlement européen sur l’intelligence artificielle (AI Act), la CNIL a officiellement élargi ses missions. Elle devient l’autorité de contrôle des usages d’IA interdits et l’autorité de surveillance du marché pour les systèmes à haut risque.

Sont concernés : les systèmes de reconnaissance biométrique, les outils d’aide à l’embauche ou à l’évaluation des salariés, les applications dans l’éducation ou les usages répressifs. Pour les entreprises qui utilisent ou envisagent d’utiliser des solutions d’IA, l’heure est au recensement et à la documentation.

Ce que les entreprises doivent faire concrètement

Face à ce contexte, plusieurs chantiers s’imposent en priorité.

Cybersécurité : un socle non négociable

L’authentification multifacteur (MFA), la gestion fine des habilitations, la journalisation des accès, la sensibilisation des équipes et l’audit régulier des sous-traitants ne sont plus des options. Ce sont des attendus explicites de la CNIL. Une violation de données liée à une mesure de sécurité insuffisante expose directement à une sanction.

Droits des personnes : une procédure formalisée

Toute demande d’accès, de suppression ou d’opposition doit être traitée dans un délai d’un mois. Cela implique une procédure claire, connue des équipes concernées, et des systèmes qui permettent une suppression effective sur l’ensemble des bases de données.

Cookies : des règles qui s’appliquent à tous

Un bouton “Refuser” difficile à trouver, ou une interface qui oriente vers l’acceptation, suffit à justifier une sanction. Ce point fait l’objet d’un contrôle quasi-systématique.

Intelligence artificielle : documenter dès maintenant

Les entreprises qui utilisent des systèmes d’IA — outils RH, scoring, analyse comportementale — ont intérêt à les recenser, les classer par niveau de risque selon l’AI Act, et à constituer une documentation.

Sous-traitants : vérifier les garanties

Les incidents impliquent très souvent des prestataires. Les contrats de traitement de données (DPA) doivent être à jour, les listes de sous-traitants tenues, et les garanties de sécurité vérifiées.

Albacombee accompagne votre conformité RGPD et RSE

Les priorités de contrôle de la CNIL pour 2026 s’inscrivent pleinement dans les enjeux de gouvernance et de responsabilité que nous accompagnons au quotidien. Albacombee propose des diagnostics de conformité RGPD, des formations certifiées Qualiopi à destination des équipes, et un accompagnement structuré sur les nouvelles obligations liées à l’IA.
Vous souhaitez évaluer votre niveau de conformité ou former vos équipes ? Contactez-nous.

En résumé

Le rapport annuel 2025 de la CNIL marque un tournant. L’institution ne se contente plus d’accompagner : elle contrôle, et elle sanctionne — des grandes entreprises comme des PME. La cybersécurité, la gestion des droits des personnes, la conformité des cookies et l’encadrement de l’IA forment les quatre piliers de la conformité attendue en 2026. Pour les entreprises qui n’ont pas encore structuré leur démarche, le moment d’agir est maintenant.

 

Formez vos équipes au Numérique Responsable
Share:

Marie Duris

Related posts

Posted on empreinte carbone français
Albacombee

L’empreinte carbone moyenne des Français est de 8,5 tonnes CO₂ / an

Posted on Journée mondiale de l'environnement 2026 : agir maintenant
Albacombee

Journée mondiale de l’environnement 2026 : agir avec votre entreprise

Posted on télétravail et productivité au travail
Albacombee

Le télétravail permet-il un gain de productivité ? L’INSEE a mesuré.

Posted on journée mondiale biodiversité 2026
Albacombee

Journée mondiale de la Biodiversité : des actions locales pour un impact mondial

Contactez nous

Image-home-albacombee-px2

Menu

Aide et informations

Nous suivre

Linkedin

Albacombee