[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/cnil-2025-sanctions-priorites-controle\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/cnil-2025-sanctions-priorites-controle\/","headline":"CNIL 2025 : 486 millions d&rsquo;euros d&rsquo;amendes de sanctions. Ce que votre programme de conformit\u00e9 doit pr\u00e9voir pour 2026","name":"CNIL 2025 : 486 millions d&rsquo;euros d&rsquo;amendes de sanctions. Ce que votre programme de conformit\u00e9 doit pr\u00e9voir pour 2026","description":"Le rapport annuel de la CNIL publi\u00e9 en mai 2026 confirme l'intensification des contr\u00f4les : 83 sanctions, 486 millions d'euros d'amendes. IA g\u00e9n\u00e9rative, cookies, transferts internationaux, donn\u00e9es de mineurs et de sant\u00e9 \u2014 tour d'horizon des 5 priorit\u00e9s 2026 et des actions concr\u00e8tes \u00e0 engager d\u00e8s maintenant.","datePublished":"2026-05-27","dateModified":"2026-05-27","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/05\/cnil_2025_priorites_2026_bilan_sanctions_rgpd-2.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/05\/cnil_2025_priorites_2026_bilan_sanctions_rgpd-2.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/cnil-2025-sanctions-priorites-controle\/","about":["RGPD"],"wordCount":1910,"keywords":["CNIL","Conformit\u00e9 2026","donn\u00e9es de sant\u00e9","DPO","Sanctions RGPD","Transferts internationaux"],"articleBody":"SommaireToggleUn bilan 2025 qui parle par les chiffresLes priorit\u00e9s officielles de contr\u00f4le CNIL 2026 : ce que cela implique pour votre organisationCinq axes de vigilance RGPD \u00e0 surveiller en 2026Ce que vous devez faire maintenantFAQ &#8211; Bilan CNIL 2025 et conformit\u00e9 RGPD 2026En r\u00e9sum\u00e9Pour aller plus loinLes solutions MDP Data ProtectionNotre Livre Blanc RGPD\u00c0 propos de l&rsquo;auteurLe rapport annuel de la CNIL publi\u00e9 le 18 mai 2026 confirme une tendance sans ambigu\u00eft\u00e9 : le contr\u00f4le s&rsquo;intensifie, les sanctions augmentent, et les cibles prioritaires pour 2026 sont d\u00e9sormais clairement identifi\u00e9es. Tour d&rsquo;horizon de ce que les DPO et responsables conformit\u00e9 doivent anticiper.Un bilan 2025 qui parle par les chiffres83 sanctions prononc\u00e9es, 486 millions d&rsquo;euros d&rsquo;amendes cumul\u00e9es. Ces chiffres ne refl\u00e8tent pas une d\u00e9rive punitive mais une mont\u00e9e en maturit\u00e9 du contr\u00f4le. La CNIL contr\u00f4le davantage, plus vite, et avec des moyens d&rsquo;investigation renforc\u00e9s par les coop\u00e9rations europ\u00e9ennes engag\u00e9es dans le cadre du Comit\u00e9 Europ\u00e9en de la Protection des Donn\u00e9es (EDPB). Plus de d\u00e9tails dans notre guide sur les implications des e-mails comme donn\u00e9es personnelles.Deux affaires illustrent les deux grands axes sanctionn\u00e9s cette ann\u00e9e. FREE MOBILE et FREE ont \u00e9cop\u00e9 de 42 millions d&rsquo;euros cumul\u00e9s pour une s\u00e9curit\u00e9 insuffisante des donn\u00e9es : mots de passe non hach\u00e9s, absence de chiffrement, dur\u00e9es de conservation non respect\u00e9es. France Travail a re\u00e7u une amende de 5 millions d&rsquo;euros pour des d\u00e9fauts de gouvernance dans le traitement des donn\u00e9es de demandeurs d&#8217;emploi.Ces deux cas r\u00e9sument l&rsquo;essentiel : s\u00e9curit\u00e9 technique d&rsquo;un c\u00f4t\u00e9, gouvernance de l&rsquo;autre. Les deux axes que la CNIL entend renforcer en 2026.Les priorit\u00e9s officielles de contr\u00f4le CNIL 2026 : ce que cela implique pour votre organisationLa CNIL a publi\u00e9 ses&nbsp;th\u00e9matiques prioritaires de contr\u00f4le pour 2026. Environ 20 % de ses contr\u00f4les annuels s&rsquo;inscrivent dans ce cadre. Trois th\u00e8mes ont \u00e9t\u00e9 retenus cette ann\u00e9e, auxquels s&rsquo;ajoute un engagement fort sur la cybers\u00e9curit\u00e9.Le recrutementTrois ans apr\u00e8s la publication de son guide d\u00e9di\u00e9, la CNIL v\u00e9rifiera que les grandes entreprises et cabinets de recrutement respectent bien le RGPD dans leurs pratiques : syst\u00e8mes de d\u00e9cision automatis\u00e9e, information des candidats, dur\u00e9es de conservation des CV et donn\u00e9es de candidature. Ce th\u00e8me pr\u00e9figure \u00e9galement les futures attributions de la CNIL comme autorit\u00e9 de surveillance des syst\u00e8mes d&rsquo;IA dans le champ du travail, au titre du r\u00e8glement europ\u00e9en sur l&rsquo;IA.Le r\u00e9pertoire \u00e9lectoral uniqueLa CNIL contr\u00f4lera les utilisations du fichier national des \u00e9lecteurs g\u00e9r\u00e9 par l&rsquo;INSEE, afin d&rsquo;identifier d&rsquo;\u00e9ventuels d\u00e9tournements d&rsquo;usage de ce fichier qui centralise l&rsquo;ensemble des donn\u00e9es \u00e9lectorales en France.Les f\u00e9d\u00e9rations sportivesDans la continuit\u00e9 des Jeux olympiques de Paris 2024, les clubs et f\u00e9d\u00e9rations sportives traitent un volume important de donn\u00e9es, dont des donn\u00e9es de sant\u00e9 et des donn\u00e9es concernant des mineurs. La CNIL v\u00e9rifiera la pertinence des donn\u00e9es collect\u00e9es, les dur\u00e9es de conservation et la s\u00e9curit\u00e9 des syst\u00e8mes, un secteur particuli\u00e8rement expos\u00e9 aux cyberattaques.La cybers\u00e9curit\u00e9 : priorit\u00e9 transversale de l&rsquo;ann\u00e9eAu-del\u00e0 de ces th\u00e9matiques sectorielles, la CNIL a annonc\u00e9 qu&rsquo;elle consacrerait&nbsp;50 % de ses contr\u00f4les et actions r\u00e9pressives \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es en 2026. Face \u00e0 la multiplication des violations massives constat\u00e9es ces deux derni\u00e8res ann\u00e9es, la s\u00e9curit\u00e9 technique devient le premier crit\u00e8re d&rsquo;\u00e9valuation lors de tout contr\u00f4le. Cela concerne tous les secteurs, toutes les tailles d&rsquo;organisation : associations, PME, collectivit\u00e9s, grandes entreprises.\ud83d\udc49 Pour approfondir&nbsp;voir aussi : NIS2 et RGPD ensemble : comment coordonner vos obligations de s\u00e9curit\u00e9Cinq axes de vigilance RGPD \u00e0 surveiller en 2026Au-del\u00e0 des th\u00e9matiques officielles de contr\u00f4le, le rapport annuel de la CNIL met en lumi\u00e8re cinq domaines o\u00f9 les manquements restent fr\u00e9quents et les risques \u00e9lev\u00e9s pour les organisations. Ce ne sont pas des priorit\u00e9s de contr\u00f4le formelles, mais des signaux forts que tout DPO ou responsable conformit\u00e9 doit int\u00e9grer dans son programme 2026.L&rsquo;IA g\u00e9n\u00e9rativeL&rsquo;utilisation d&rsquo;outils d&rsquo;IA dans les organisations (ChatGPT, Copilot, Claude, Gemini) g\u00e9n\u00e8re des flux de donn\u00e9es personnelles qui, dans de nombreux cas, ne font l&rsquo;objet d&rsquo;aucune analyse d&rsquo;impact. Les organisations qui d\u00e9ploient ces outils doivent documenter les traitements associ\u00e9s, identifier les bases l\u00e9gales et informer les personnes concern\u00e9es.Les cookies et traceursMalgr\u00e9 des ann\u00e9es de mise en conformit\u00e9, le recueil du consentement reste non conforme dans de nombreux cas : refus rendu plus difficile que l&rsquo;acceptation, absence de liste exhaustive des finalit\u00e9s, non-respect de la dur\u00e9e de validit\u00e9 du consentement.Les transferts internationaux de donn\u00e9esPost-Schrems II, les transferts vers des sous-traitants extra-europ\u00e9ens restent un point de vigilance majeur. Les clauses contractuelles types (CCT) doivent \u00eatre accompagn\u00e9es d&rsquo;une \u00e9valuation de l&rsquo;impact du transfert (TIA).Les donn\u00e9es de mineursLa protection des donn\u00e9es des moins de 15 ans en ligne, le principe de privacy by design dans les services num\u00e9riques \u00e0 destination de jeunes publics, et le contr\u00f4le de l&rsquo;\u00e2ge restent des sujets sensibles sur lesquels les organisations doivent renforcer leur vigilance.Les donn\u00e9es de sant\u00e9Apr\u00e8s les nouveaux r\u00e9f\u00e9rentiels MR001 et MR003 publi\u00e9s au Journal officiel en mai 2026, les organisations traitant des donn\u00e9es de sant\u00e9 doivent v\u00e9rifier que leurs protocoles existants sont \u00e0 jour avec les nouvelles exigences.Ce que vous devez faire maintenantLe rapport annuel de la CNIL n&rsquo;est pas seulement un bilan : c&rsquo;est une feuille de route. Cinq actions concr\u00e8tes \u00e0 engager d\u00e8s maintenant :S\u00e9curit\u00e9 des donn\u00e9es en priorit\u00e9.\u00a0La CNIL consacre 50 % de ses contr\u00f4les 2026 \u00e0 la cybers\u00e9curit\u00e9. V\u00e9rifiez que vos mesures techniques sont document\u00e9es et \u00e0 jour : chiffrement, hachage des mots de passe, gestion des acc\u00e8s, dur\u00e9es de conservation. C&rsquo;est le premier point contr\u00f4l\u00e9.Inventorier tous les outils d&rsquo;IA g\u00e9n\u00e9rative\u00a0utilis\u00e9s dans votre organisation (y compris ceux d\u00e9ploy\u00e9s sans supervision IT) et v\u00e9rifier si une analyse d&rsquo;impact sur la protection des donn\u00e9es (AIPD) a \u00e9t\u00e9 r\u00e9alis\u00e9e.Auditer votre bandeau cookies\u00a0en testant le parcours de refus : il doit \u00eatre aussi simple que l&rsquo;acceptation.V\u00e9rifier vos contrats sous-traitants extra-europ\u00e9ens\u00a0: ils doivent inclure les CCT 2021 et une analyse d&rsquo;impact du transfert document\u00e9e.Si vous recrutez ou g\u00e9rez des donn\u00e9es RH, relire le guide recrutement CNIL et v\u00e9rifier vos dur\u00e9es de conservation des candidatures ainsi que l&rsquo;information d\u00e9livr\u00e9e aux candidats.Vous ne savez pas par o\u00f9 commencer votre mise \u00e0 niveau pour 2026 ? Nos consultants vous proposent un audit de conformit\u00e9 cibl\u00e9 sur les priorit\u00e9s CNIL.\u00a0Demandez un rendez-vousFAQ &#8211; Bilan CNIL 2025 et conformit\u00e9 RGPD 2026Combien d&rsquo;amendes la CNIL a-t-elle prononc\u00e9es en 2025 ?La CNIL a prononc\u00e9 83 sanctions en 2025, pour un total de pr\u00e8s de 487 millions d&rsquo;euros d&rsquo;amendes cumul\u00e9es, selon son rapport annuel publi\u00e9 le 18 mai 2026.&nbsp;Quelles sont les entreprises les plus sanctionn\u00e9es en 2025 ?FREE MOBILE et FREE ont re\u00e7u 42 millions d&rsquo;euros d&rsquo;amendes cumul\u00e9es pour insuffisance de s\u00e9curit\u00e9 des donn\u00e9es. France Travail a \u00e9t\u00e9 sanctionn\u00e9 \u00e0 hauteur de 5 millions d&rsquo;euros pour des d\u00e9fauts de gouvernance des donn\u00e9es.&nbsp;Quelles sont les th\u00e9matiques prioritaires de contr\u00f4le CNIL officielles pour 2026 ?La CNIL a retenu trois th\u00e9matiques prioritaires pour 2026 : le recrutement (respect du RGPD par les entreprises et cabinets de recrutement), le r\u00e9pertoire \u00e9lectoral unique (v\u00e9rification des usages du fichier national des \u00e9lecteurs), et les f\u00e9d\u00e9rations sportives (donn\u00e9es de sant\u00e9, donn\u00e9es de mineurs, cybers\u00e9curit\u00e9). \u00c0 cela s&rsquo;ajoute un engagement fort : 50 % des contr\u00f4les 2026 seront consacr\u00e9s \u00e0 la cybers\u00e9curit\u00e9 et \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es.&nbsp;Mon entreprise utilise ChatGPT ou Copilot : suis-je concern\u00e9 par les contr\u00f4les CNIL 2026 ?Pas directement dans les th\u00e9matiques prioritaires officielles, mais le d\u00e9ploiement d&rsquo;outils d&rsquo;IA g\u00e9n\u00e9rative traitant des donn\u00e9es personnelles reste un axe de vigilance majeur. La CNIL attend que les organisations documentent les traitements associ\u00e9s, identifient les bases l\u00e9gales et informent les personnes concern\u00e9es. Une AIPD peut \u00eatre requise selon les cas.&nbsp;La cybers\u00e9curit\u00e9 est-elle vraiment une priorit\u00e9 de contr\u00f4le CNIL en 2026 ?Oui, c&rsquo;est m\u00eame la priorit\u00e9 transversale la plus forte de l&rsquo;ann\u00e9e. La CNIL a annonc\u00e9 qu&rsquo;elle consacrerait 50 % de ses contr\u00f4les et actions r\u00e9pressives \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es en 2026, en r\u00e9ponse \u00e0 la multiplication des violations massives constat\u00e9es ces deux derni\u00e8res ann\u00e9es. Cela concerne tous les secteurs et toutes les tailles d&rsquo;organisation.&nbsp;\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9Le bilan CNIL 2025 confirme l&rsquo;intensification des contr\u00f4les avec 83 sanctions et 486 millions d&rsquo;euros d&rsquo;amendes. Les deux axes principalement sanctionn\u00e9s sont la s\u00e9curit\u00e9 technique insuffisante et les d\u00e9faillances de gouvernance. Pour 2026, la CNIL cible prioritairement l&rsquo;IA g\u00e9n\u00e9rative, les cookies, les transferts internationaux, les donn\u00e9es de mineurs et les donn\u00e9es de sant\u00e9. Chaque organisation doit d\u00e8s maintenant inventorier ses outils IA, auditer ses bandeaux cookies et v\u00e9rifier la conformit\u00e9 de ses contrats sous-traitants. Anticiper ces priorit\u00e9s, c&rsquo;est transformer le contr\u00f4le en levier de gouvernance durable.Pour aller plus loinCNIL &#8211;  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection &#8211; Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseCNIL &#8211; Les contr\u00f4les en 2026CNIL &#8211; Cybers\u00e9curit\u00e9Les solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act&#8230;), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre Livre Blanc RGPD Besoin d\u2019un support clair pour comprendre et appliquer le RGPD au quotidien ?                   Recevoir le Livre blanc RGPD\u00c0 propos de l&rsquo;auteurChristophe SAINT-PIERRE&nbsp; \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"CNIL 2025 : 486 millions d&rsquo;euros d&rsquo;amendes de sanctions. Ce que votre programme de conformit\u00e9 doit pr\u00e9voir pour 2026","item":"https:\/\/mdp-data.com\/cnil-2025-sanctions-priorites-controle\/#breadcrumbitem"}]}]