CNIL bilan 2025 : 486M€ de sanctions, ce que les PME doivent en retenir
En 2025, la CNIL a prononcé 83 sanctions pour un montant cumulé de 486,8 millions d'euros. Parmi les thématiques les plus sanctionnées, une surprise : 14 organismes ont été sanctionnés pour des défaillances techniques basiques. Mots de passe insuffisants, comptes partagés entre salariés, absence de journalisation. Décryptage d'un bilan qui change la donne pour les PME françaises.
Chiffres clés 2025
Le cadre : 259 décisions, 83 sanctions, un message clair
Publié le 9 février 2026, le bilan annuel de la CNIL détaille l'activité répressive de l'autorité française en 2025. Sur 259 décisions rendues, 83 sont des sanctions (les autres comprennent 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements).
Le montant cumulé des amendes atteint 486 839 500 euros, avec deux sanctions particulièrement lourdes sur le sujet des cookies et traceurs (325 millions et 150 millions d'euros). Mais au-delà des gros chiffres qui concernent des acteurs internationaux, c'est la répartition thématique qui intéresse directement les PME françaises.
Source officielle : CNIL, Sanctions et mesures correctrices, bilan 2025
Les 4 thématiques qui touchent directement les PME
Les sanctions 2025 se concentrent sur quatre grandes thématiques, toutes largement accessibles aux PME. Aucune ne vise une architecture cloud complexe. Toutes visent des contrôles de sécurité élémentaires ou des manquements à la gestion des données personnelles.
14 sanctions : sécurité technique des données (Art. 32)
Mots de passe insuffisants (trop courts, pas de complexité, pas de rotation). Comptes partagés entre salariés. Absence de journalisation des accès. Absence de chiffrement. Défaillances dans la gestion des correctifs.
Impact PME : ce sont des fondamentaux. Aucune architecture complexe n'est en cause, juste l'application des contrôles de base ISO 27001 A.8.5 (authentification) et A.8.15 (journalisation).
21 sanctions : cookies et traceurs
Dépôt de cookies sans consentement. Informations insuffisantes dans la bannière. Non-respect du refus utilisateur (persistance des cookies après clic sur "Refuser"). Les deux amendes les plus lourdes de l'année 2025 (325M€ et 150M€) appartiennent à cette catégorie.
Impact PME : toute PME avec un site web collectant des données est concernée. Les bannières cookies implémentées rapidement sans validation technique sont une source fréquente de non-conformité.
16 sanctions : vidéosurveillance des salariés
Surveillance permanente non justifiée. Caméras dissimulées. Absence d'information des salariés. Durée de conservation excessive des images. Défaillance dans la gestion des accès aux enregistrements.
Impact PME : toute PME avec des caméras sur son lieu de travail est directement concernée. L'absence d'analyse d'impact (AIPD Art. 35) sur ces traitements est un indicateur de non-conformité.
14 sanctions : non-respect des droits des personnes
Non-traitement des demandes d'effacement, d'accès ou d'opposition. Délai dépassé (plus d'un mois sans motif légitime). Absence de procédure interne documentée. Processus manuels trop longs ou oubliés.
Impact PME : toute PME qui traite des données personnelles doit avoir un processus documenté pour répondre aux droits RGPD (Art. 15 à 22). 14 sanctions en 2025 confirment que la CNIL y est très attentive.
14 sanctions : non-coopération avec la CNIL
Défaut de réponse aux demandes de la CNIL. Retard dans la transmission des documents. Absence de désignation d'un Délégué à la Protection des Données (DPO) quand il est obligatoire.
Impact PME : la CNIL sanctionne désormais le simple fait de ne pas répondre. L'argument "nous n'avons pas eu le temps" ou "l'email est passé inaperçu" n'est plus recevable.
Ce que ce bilan dit vraiment
Trois enseignements majeurs émergent de ce bilan 2025, directement applicables aux PME françaises.
Les fondamentaux techniques ne sont plus optionnels
La sécurité technique (Art. 32 RGPD) est autant visée que les thématiques traditionnelles (cookies, vidéosurveillance). Les PME qui pensent ne pas être concernées parce qu'elles n'ont "que" une base de données clients sont visées. 14 sanctions sur des fondamentaux : c'est exactement le type de contrôles que même une PME de 20 salariés peut mettre en place.
La coopération avec la CNIL est un contrôle en soi
14 sanctions pour non-coopération. Une PME qui reçoit un courrier de la CNIL doit répondre dans les délais, même partiellement. L'ignorance ou le retard est aujourd'hui un motif de sanction à part entière.
Les procédures écrites valent plus que les intentions
Absence de procédure documentée pour les droits des personnes. Pas d'AIPD pour la vidéosurveillance. Pas de politique de sécurité signée. Les sanctions touchent autant les entreprises qui "ne font rien" que celles qui "font sans écrire".
Checklist minimale pour une PME française en 2026
Voici les 10 actions concrètes à vérifier dans votre PME ce trimestre. Chacune est directement liée à une thématique sanctionnée par la CNIL en 2025.
- Politique de mots de passe : minimum 12 caractères, complexité, rotation tous les 90 jours ou MFA actif
- Audit des comptes partagés : aucun compte utilisateur ne doit être utilisé par plusieurs salariés
- Journalisation des accès aux données sensibles (ISO 27001 A.8.15)
- Procédure documentée pour les demandes d'effacement, d'accès et d'opposition (délai < 1 mois)
- Bannière cookies validée techniquement : dépôt conditionné au consentement, respect du refus
- AIPD (analyse d'impact) documentée pour la vidéosurveillance et tout traitement à risque
- Registre des traitements à jour (Art. 30 RGPD), même pour les PME < 250 salariés avec données sensibles
- DPO désigné quand obligatoire, coordonnées publiées sur le site
- Procédure de notification CNIL 72h en cas de violation de données
- Registre des violations documenté, même pour les incidents non notifiables
Comment Kyrionn vous aide à couvrir cette checklist
Kyrionn est une plateforme GRC française en bêta privée, construite pour les PME qui n'ont pas les moyens de payer un cabinet à 20 000€ pour structurer leur conformité. Voici ce que Kyrionn couvre directement sur les 4 thématiques sanctionnées par la CNIL en 2025 :
- Module RGPD complet : registre Art. 30 généré, AIPD Art. 35 structurée, workflow notification CNIL 72h, suivi des droits des personnes (Art. 15-22)
- Module ISO 27001:2022 : 93 contrôles dont A.8.5 authentification, A.8.15 journalisation, A.5.14 classification données
- Intégrations GitHub + Google Workspace : vérification automatique de 9 contrôles (MFA, comptes partagés, identités, suspension 24h)
- Journal d'activité : audit trail automatique conforme ISO A.8.15, exploitable par votre DPO ou votre auditeur
- Génération IA : politique de sécurité, registre Art. 30, plan d'actions, présentation direction en quelques minutes
Diagnostic de conformité gratuit en 15 minutes
Pilotage ISO 27001, NIS2, RGPD, EBIOS RM. Seule la génération automatique de vos politiques et livrables est payante.
Sources
Patient Kotto
Consultant cybersécurité et GRC senior, Fondateur de Kyrionn
15 ans en infrastructure critique et cybersécurité. RSSI externalisé via PK InfoSec. J'ai fondé Kyrionn pour donner aux PME françaises un outil accessible pour piloter leur conformité, sans passer par des cabinets à 50 000€. Questions ou retours : · En savoir plus