Depuis l’entrée en vigueur du RGPD, la CNIL a progressivement structuré sa doctrine de contrôle et de sanction. Les décisions rendues ces dernières années — qu’il s’agisse de grandes entreprises internationales ou d’acteurs de taille plus modeste — témoignent d’une autorité qui a désormais pleinement trouvé ses marques.
Alors que la CNIL prononçait une amende de 50 millions d’euros à Google en 2019, c’est 325 millions qui ont été prononcés à l’encontre de cette même société en 2025.
Votre entreprise n’est pas Google. Mais elle n’est pas à l’abri.
En 2025, cette maturité se traduit par une approche plus ciblée et plus rapide : les contrôles sont mieux orientés, les procédures plus fluides, et le cadre réglementaire s’enrichit avec l’entrée en application progressive de l’AI Act européen.
Pour les entreprises, ce contexte invite à une réflexion de fond : non pas savoir si elles sont concernées par le RGPD — elles le sont toutes, sans exception — mais évaluer avec lucidité si leur niveau de conformité est à la hauteur des exigences actuelles et de celles qui se profilent.
- Bilan 2025 : ce que les sanctions CNIL nous enseignent
Les derniers bilans publiés par la CNIL confirment une tendance nette : le régulateur renforce progressivement ses actions de contrôle et de sanction.
En 2024, l’autorité a prononcé 87 sanctions et plus de 330 mesures correctrices, pour un montant total d’environ 55,2 millions d’euros d’amendes. Le nombre de décisions a ainsi plus que doublé par rapport à 2023, signe d’une intensification réelle de l’activité répressive.
L’année 2025 confirme cette dynamique, avec 83 sanctions prononcées (soit 4 de moins) mais pour un montant total d’environ 486 millions d’euros d’amendes cumulées (environ 9 fois plus qu’en 2024).
Mais au-delà des montants spectaculaires qui concernent les grandes plateformes, les contrôles de la CNIL visent aujourd’hui toutes les organisations traitant des données personnelles, quelle que soit leur taille.
Les principales thématiques ont été :
- Les cookies et mesures d’audience
- La vidéosurveillance des salariés
- La sécurité des données
- L’exercice des droits
- La prospection politique ou commerciale
Des manquements souvent simples… mais fréquents
Ce qui ressort le plus clairement des décisions de la CNIL est la nature des manquements sanctionnés.
Dans la majorité des cas, il ne s’agit pas de cyberattaques majeures ou de violations spectaculaires.
Il s’agit plutôt de défaillances organisationnelles ou documentaires, par exemple :
Il a également été constaté un certain niveau de défaut de coopération avec la CNIL lors d’un contrôle.
En réalité, ces situations sont souvent le reflet d’un phénomène simple : la conformité RGPD est mise en place une fois (lorsqu’elle l’est) … puis rarement réévaluée.
Or le droit des données personnelles est un chantier vivant, qui nécessite des ajustements réguliers, notamment avec l’arrivée de nouvelles technologies, d’outils marketing ou d’applications d’intelligence artificielle.
- L’AI Act : un nouveau périmètre de conformité à intégrer
L’entrée en application progressive du Règlement européen sur l’intelligence artificielle — communément appelé AI Act — constitue le fait réglementaire majeur de 2025 pour les entreprises qui développent ou utilisent des systèmes d’IA.
Sans entrer dans le détail technique du texte, plusieurs points méritent d’être soulignés pour les dirigeants et directeurs juridiques.
L’AI Act et le RGPD sont complémentaires, pas substituables.
Un système d’IA qui traite des données personnelles doit satisfaire aux deux cadres simultanément. La conformité RGPD ne dispense pas des obligations issues de l’AI Act, et inversement.
La classification des risques est centrale.
L’AI Act distingue les systèmes d’IA selon leur niveau de risque. Pour les systèmes à risque élevé (exemple : crédit, scoring, systèmes utilisés dans des contextes sensibles), des obligations substantielles s’ajoutent : documentation technique, transparence, supervision humaine…
Les entreprises utilisatrices sont également concernées.
Il serait inexact de penser que l’AI Act ne vise que les développeurs de solutions d’IA. Les entreprises qui déploient ces outils dans leurs processus métier — même via des prestataires tiers — ont des obligations propres qu’il convient d’identifier et d’anticiper.
Le calendrier est progressif mais rapproché.
Certaines dispositions sont déjà applicables, d’autres le seront dans le cours de l’année 2026. La mise en conformité prend du temps : commencer tôt est un avantage, pas une précaution superflue.
- Les cinq chantiers prioritaires pour les entreprises en 2026
Au regard du plan stratégique 2025‑2028 publié par la CNIL, l’évolution du cadre réglementaire et de la pratique des contrôles, quatre chantiers se dégagent comme prioritaires pour les entreprises qui souhaitent sécuriser leur conformité.
L’intelligence artificielle et les usages émergents
Le déploiement massif de l’IA place ce sujet au cœur des préoccupations du régulateur.
Les travaux de la CNIL en 2026 portent notamment sur :
- les données utilisées pour entraîner les modèles
- les risques liés aux deepfakes et usages automatisés
- les systèmes d’IA manipulant des données sensibles ou des décisions automatisées. (cnil.fr)
Ce sujet est directement lié :
- au RGPD
- au AI Act européen
- aux obligations de transparence et d’explicabilité.
Pour les entreprises technologiques, cela devient un enjeu de conformité produit.
La cybersécurité et les violations de données
La CNIL place la sécurité des données personnelles parmi ses priorités majeures.
Les notifications de violations continuent d’augmenter (plusieurs milliers chaque année), ce qui pousse l’autorité à renforcer ses contrôles sur les mesures de sécurité techniques et organisationnelles.
Les contrôles portent notamment sur :
- les politiques de gestion des accès
- l’authentification forte
- la sécurisation des bases de données sensibles
- la gestion des fuites de données et incidents de sécurité
Pour les entreprises, cela signifie que la CNIL ne vérifie plus seulement la conformité documentaire :
elle examine la sécurité réelle des systèmes.
La transparence et l’information des utilisateurs
Un autre axe majeur concerne les obligations d’information prévues par le RGPD.
Les autorités européennes de protection des données ont lancé des actions coordonnées sur la transparence, notamment sur :
- les politiques de confidentialité
- l’information fournie aux utilisateurs
- la compréhension réelle des traitements effectués.
En pratique, la CNIL vérifie :
- si les personnes comprennent ce qui est fait de leurs données
- si les informations sont claires, accessibles et complètes
- si les droits (accès, suppression, opposition) sont facilement exerçables.
La protection des mineurs
La CNIL annonce porter son attention sur l’exposition croissante des enfants aux services numériques et aux réseaux sociaux dès le plus jeune âge, en ce qu’elle augmente les risques liés à la collecte et à l’exploitation de leurs données personnelles.
Dans ce cadre, elle entend concentrer ses actions sur la compréhension des risques numériques pour les mineurs, l’exercice effectif de leurs droits et la mise en place de mesures visant à mieux protéger leurs données et leur vie privée dans les environnements numériques qu’ils utilisent au quotidien.
- Conformité RGPD : une démarche continue et structurée, pas un projet ponctuel
L’une des erreurs les plus fréquemment observées en pratique consiste à appréhender la conformité au RGPD comme un projet à mener à terme définitif. Cette approche méconnaît la nature intrinsèquement évolutive du cadre applicable : les traitements de données se transforment, les outils techniques se renouvellent, la doctrine des autorités de contrôle se précise, et l’exposition aux risques se reconfigure en permanence.
Une démarche de conformité robuste et opposable repose sur trois piliers indissociables :
- La gouvernance : la désignation d’un délégué à la protection des données (DPO) constitue une obligation légale dans un certain nombre de cas, et une mesure de bonne pratique fortement recommandée dans tous les autres. Il revient à cet acteur de piloter et de coordonner la politique de protection des données au sein de l’organisation.
- La documentation : la conformité ne se présume pas, elle se démontre. Registre des activités de traitement, analyses d’impact sur la protection des données (AIPD), clauses contractuelles avec les sous-traitants, politiques internes — l’ensemble de ces éléments constitue le socle probatoire sur lequel repose toute défense en cas de contrôle ou de contentieux. Cette documentation doit régulièrement être révisée et mise à jour.
- La réactivité : en cas de violation de données à caractère personnel, ou en cas de demande d’exercice des droits, le responsable de traitement est légalement tenu de notifier la CNIL ou de répondre à l’intéressé dans un délai court fixé par le RGPD. Ces délais sont contraignants et imposent que les procédures internes de détection et de gestion des incidents soient définies et opérationnelles en amont de toute survenance.
Conclusion
Le RGPD n’est pas une contrainte administrative parmi d’autres. C’est un cadre structurant qui touche à la confiance que les clients, partenaires et collaborateurs accordent à votre entreprise dans sa manière de gérer leurs données.
En 2026, les entreprises les mieux positionnées ne sont pas nécessairement celles qui ont investi le plus — ce sont celles qui ont adopté une approche méthodique, documentée et régulièrement actualisée.
Un audit de conformité permet d’identifier précisément les zones de risque, de prioriser les actions correctrices et de construire une démarche solide sur le long terme.
Votre entreprise souhaite faire le point sur sa conformité RGPD ? Nos avocats en droit du numérique et protection des données vous accompagnent dans l’évaluation de votre situation et la mise en œuvre des actions adaptées à votre activité.
Contactez notre équipe pour un premier échange.