Logo MDP Data Protection avec clé rouge sur fond transparent

Bureaux

425 rue Jean Rostand 31670 Labège

Nous écrire

ask@mdp-data.com

Nous appeler

+33 5 61 60 16 67

Demander une démo

CNIL 2025 : 486 millions d’euros d’amendes de sanctions. Ce que votre programme de conformité doit prévoir pour 2026

par | Mai 27, 2026 | RGPD

Illustration du bilan CNIL 2025 sur les sanctions RGPD et les priorités de conformité pour 2026 avec cadenas, dossier réglementaire et environnement numérique européen.

Le rapport annuel de la CNIL publié le 18 mai 2026 confirme une tendance sans ambiguïté : le contrôle s’intensifie, les sanctions augmentent, et les cibles prioritaires pour 2026 sont désormais clairement identifiées. Tour d’horizon de ce que les DPO et responsables conformité doivent anticiper.

Un bilan 2025 qui parle par les chiffres

83 sanctions prononcées, 486 millions d’euros d’amendes cumulées. Ces chiffres ne reflètent pas une dérive punitive mais une montée en maturité du contrôle. La CNIL contrôle davantage, plus vite, et avec des moyens d’investigation renforcés par les coopérations européennes engagées dans le cadre du Comité Européen de la Protection des Données (EDPB). Plus de détails dans notre guide sur les implications des e-mails comme données personnelles.

Deux affaires illustrent les deux grands axes sanctionnés cette année. FREE MOBILE et FREE ont écopé de 42 millions d’euros cumulés pour une sécurité insuffisante des données : mots de passe non hachés, absence de chiffrement, durées de conservation non respectées. France Travail a reçu une amende de 5 millions d’euros pour des défauts de gouvernance dans le traitement des données de demandeurs d’emploi.

Ces deux cas résument l’essentiel : sécurité technique d’un côté, gouvernance de l’autre. Les deux axes que la CNIL entend renforcer en 2026.

Les priorités officielles de contrôle CNIL 2026 : ce que cela implique pour votre organisation

La CNIL a publié ses thématiques prioritaires de contrôle pour 2026. Environ 20 % de ses contrôles annuels s’inscrivent dans ce cadre. Trois thèmes ont été retenus cette année, auxquels s’ajoute un engagement fort sur la cybersécurité.

Le recrutement

Trois ans après la publication de son guide dédié, la CNIL vérifiera que les grandes entreprises et cabinets de recrutement respectent bien le RGPD dans leurs pratiques : systèmes de décision automatisée, information des candidats, durées de conservation des CV et données de candidature. Ce thème préfigure également les futures attributions de la CNIL comme autorité de surveillance des systèmes d’IA dans le champ du travail, au titre du règlement européen sur l’IA.

Le répertoire électoral unique

La CNIL contrôlera les utilisations du fichier national des électeurs géré par l’INSEE, afin d’identifier d’éventuels détournements d’usage de ce fichier qui centralise l’ensemble des données électorales en France.

Les fédérations sportives

Dans la continuité des Jeux olympiques de Paris 2024, les clubs et fédérations sportives traitent un volume important de données, dont des données de santé et des données concernant des mineurs. La CNIL vérifiera la pertinence des données collectées, les durées de conservation et la sécurité des systèmes, un secteur particulièrement exposé aux cyberattaques.

La cybersécurité : priorité transversale de l’année

Au-delà de ces thématiques sectorielles, la CNIL a annoncé qu’elle consacrerait 50 % de ses contrôles et actions répressives à la sécurité des données en 2026. Face à la multiplication des violations massives constatées ces deux dernières années, la sécurité technique devient le premier critère d’évaluation lors de tout contrôle. Cela concerne tous les secteurs, toutes les tailles d’organisation : associations, PME, collectivités, grandes entreprises.

👉 Pour approfondir voir aussi : NIS2 et RGPD ensemble : comment coordonner vos obligations de sécurité

Cinq axes de vigilance RGPD à surveiller en 2026

Au-delà des thématiques officielles de contrôle, le rapport annuel de la CNIL met en lumière cinq domaines où les manquements restent fréquents et les risques élevés pour les organisations. Ce ne sont pas des priorités de contrôle formelles, mais des signaux forts que tout DPO ou responsable conformité doit intégrer dans son programme 2026.

L’IA générative

L’utilisation d’outils d’IA dans les organisations (ChatGPT, Copilot, Claude, Gemini) génère des flux de données personnelles qui, dans de nombreux cas, ne font l’objet d’aucune analyse d’impact. Les organisations qui déploient ces outils doivent documenter les traitements associés, identifier les bases légales et informer les personnes concernées.

Les cookies et traceurs

Malgré des années de mise en conformité, le recueil du consentement reste non conforme dans de nombreux cas : refus rendu plus difficile que l’acceptation, absence de liste exhaustive des finalités, non-respect de la durée de validité du consentement.

Les transferts internationaux de données

Post-Schrems II, les transferts vers des sous-traitants extra-européens restent un point de vigilance majeur. Les clauses contractuelles types (CCT) doivent être accompagnées d’une évaluation de l’impact du transfert (TIA).

Les données de mineurs

La protection des données des moins de 15 ans en ligne, le principe de privacy by design dans les services numériques à destination de jeunes publics, et le contrôle de l’âge restent des sujets sensibles sur lesquels les organisations doivent renforcer leur vigilance.

Les données de santé

Après les nouveaux référentiels MR001 et MR003 publiés au Journal officiel en mai 2026, les organisations traitant des données de santé doivent vérifier que leurs protocoles existants sont à jour avec les nouvelles exigences.

Ce que vous devez faire maintenant

Le rapport annuel de la CNIL n’est pas seulement un bilan : c’est une feuille de route. Cinq actions concrètes à engager dès maintenant :

  • Sécurité des données en priorité. La CNIL consacre 50 % de ses contrôles 2026 à la cybersécurité. Vérifiez que vos mesures techniques sont documentées et à jour : chiffrement, hachage des mots de passe, gestion des accès, durées de conservation. C’est le premier point contrôlé.
  • Inventorier tous les outils d’IA générative utilisés dans votre organisation (y compris ceux déployés sans supervision IT) et vérifier si une analyse d’impact sur la protection des données (AIPD) a été réalisée.
  • Auditer votre bandeau cookies en testant le parcours de refus : il doit être aussi simple que l’acceptation.
  • Vérifier vos contrats sous-traitants extra-européens : ils doivent inclure les CCT 2021 et une analyse d’impact du transfert documentée.
  • Si vous recrutez ou gérez des données RH, relire le guide recrutement CNIL et vérifier vos durées de conservation des candidatures ainsi que l’information délivrée aux candidats.

Vous ne savez pas par où commencer votre mise à niveau pour 2026 ? Nos consultants vous proposent un audit de conformité ciblé sur les priorités CNIL. Demandez un rendez-vous

FAQ – Bilan CNIL 2025 et conformité RGPD 2026

Combien d’amendes la CNIL a-t-elle prononcées en 2025 ?

La CNIL a prononcé 83 sanctions en 2025, pour un total de près de 487 millions d’euros d’amendes cumulées, selon son rapport annuel publié le 18 mai 2026.

 

Quelles sont les entreprises les plus sanctionnées en 2025 ?

FREE MOBILE et FREE ont reçu 42 millions d’euros d’amendes cumulées pour insuffisance de sécurité des données. France Travail a été sanctionné à hauteur de 5 millions d’euros pour des défauts de gouvernance des données.

 

Quelles sont les thématiques prioritaires de contrôle CNIL officielles pour 2026 ?

La CNIL a retenu trois thématiques prioritaires pour 2026 : le recrutement (respect du RGPD par les entreprises et cabinets de recrutement), le répertoire électoral unique (vérification des usages du fichier national des électeurs), et les fédérations sportives (données de santé, données de mineurs, cybersécurité). À cela s’ajoute un engagement fort : 50 % des contrôles 2026 seront consacrés à la cybersécurité et à la sécurité des données.

 

Mon entreprise utilise ChatGPT ou Copilot : suis-je concerné par les contrôles CNIL 2026 ?

Pas directement dans les thématiques prioritaires officielles, mais le déploiement d’outils d’IA générative traitant des données personnelles reste un axe de vigilance majeur. La CNIL attend que les organisations documentent les traitements associés, identifient les bases légales et informent les personnes concernées. Une AIPD peut être requise selon les cas.

 

La cybersécurité est-elle vraiment une priorité de contrôle CNIL en 2026 ?

Oui, c’est même la priorité transversale la plus forte de l’année. La CNIL a annoncé qu’elle consacrerait 50 % de ses contrôles et actions répressives à la sécurité des données en 2026, en réponse à la multiplication des violations massives constatées ces deux dernières années. Cela concerne tous les secteurs et toutes les tailles d’organisation.

 

🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.

En résumé

Le bilan CNIL 2025 confirme l’intensification des contrôles avec 83 sanctions et 486 millions d’euros d’amendes. Les deux axes principalement sanctionnés sont la sécurité technique insuffisante et les défaillances de gouvernance. Pour 2026, la CNIL cible prioritairement l’IA générative, les cookies, les transferts internationaux, les données de mineurs et les données de santé. Chaque organisation doit dès maintenant inventorier ses outils IA, auditer ses bandeaux cookies et vérifier la conformité de ses contrats sous-traitants. Anticiper ces priorités, c’est transformer le contrôle en levier de gouvernance durable.

Pour aller plus loin

Les solutions MDP Data Protection

MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act…), avec une approche opérationnelle et évolutive.

  • SimplyRGPD : Pilotage de votre conformité au quotidien.
  • MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
  • MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.

Notre Livre Blanc RGPD

Besoin d’un support clair pour comprendre et appliquer le RGPD au quotidien ?

À propos de l’auteur

Christophe SAINT-PIERRE  – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.