La CNIL a publié son bilan des sanctions et mesures correctrices prononcées en 2025, ainsi que la liste actualisée des sanctions 2025.

Résultat : 83 sanctions (dont 67 via la procédure simplifiée), pour un montant total de 486 839 500 € d’amendes cumulées.

C’est un chiffre stable par rapport à 2024 (87 sanctions), mais en très nette augmentation depuis 2022 (21 sanctions). Cette évolution s’explique notamment par la montée en puissance de la procédure simplifiée, qui permet désormais à la CNIL de sanctionner plus rapidement et plus efficacement les manquements au RGPD.

La typologie des organismes sanctionnés : les TPE/PME sont concernées

À l’exception de quelques sanctions rendues publiques, le détail précis des décisions (notamment la taille des organismes concernés) n’est pas systématiquement accessible.

Les données disponibles montrent néanmoins que tous les types d’organismes peuvent être concernés, y compris les TPE/PME.

Le montant des amendes en 2025 : une lecture à nuancer

486 839 500 €. À première vue, le montant total des amendes prononcées en 2025 peut sembler astronomique. Il est toutefois largement tiré vers le haut par deux sanctions exceptionnelles (Google : 325 millions € ; Shein : 150 millions €). Si l’on exclut ces deux sanctions, le montant cumulé des amendes retombe à 11 839 500 € pour 81 sanctions, ce qui offre une vision plus représentative de la pratique de la CNIL à l’égard de la majorité des entreprises.

En dehors de ces deux cas extraordinaires, et de quelques amendes élevées voire très élevées (de 75 000 à 3,5 millions €), les montants demeurent relativement « modestes » : 3000 à 20000 €, montant maximum pour un manquement dans le cadre de la procédure simplifiée.

De quoi, malgré tout, avoir un impact réel sur la trésorerie d’une TPE/PME.

Les manquements les plus fréquemment sanctionnés en 2025

En 2025, la CNIL a principalement sanctionné les manquements suivants :

  • Manquements aux règles régissant les cookies et autres traceurs (21 sanctions, dont les sanctions Google et Shein)
  • Manquements aux règles applicables à la vidéosurveillance des salariés (16 sanctions)
  • Manquements aux obligations des sous-traitants
  • Manquements relatifs à la sécurité des données personnelles (14 sanctions)
  • Absence de coopération avec la CNIL (14 sanctions)
  • Non-respect des droits des personnes (14 sanctions)
  • Manquements aux règles relatives à la prospection commerciale ou politique (10 sanctions)

Ce qu’il faut en retenir pour les TPE/PME

Les chiffres sont sans équivoque : le non-respect du RGPD constitue un risque concret pour toutes les structures, y compris les TPE et PME.

1️⃣ Un risque de sanction bien réel

Des sanctions, même d’un montant limité, peuvent intervenir :

  • à la suite d’une plainte,
  • d’un signalement (y compris par un concurrent),
  • ou d’un contrôle spontané de la CNIL.

La procédure simplifiée permet en outre à la CNIL de prononcer rapidement des sanctions pouvant aller jusqu’à 20 000 € par manquement.

2️⃣ L’urgence (et le coût) de la mise en conformité

Les mises en demeure et sanctions imposent de réagir dans des délais très courts pour se mettre en conformité et répondre à la CNIL, sous peine :

  • d’une aggravation de la sanction,
  • voire de la publicité de la décision, avec un risque réputationnel important.

Cette réaction en urgence implique souvent la mobilisation de ressources internes et/ou d’une assistance externe (avocat, prestataires spécialisés), générant un coût bien supérieur à celui d’une mise en conformité anticipée.

En résumé

Les TPE et PME ne sont pas épargnées par les sanctions CNIL. Une sanction, même « modeste », peut avoir des conséquences financières et organisationnelles significatives.

Votre entreprise serait-elle prête en cas de contrôle de la CNIL ?

➡️ Un audit juridique RGPD permet d’identifier les risques, de prioriser les actions et de sécuriser vos traitements de données personnelles.