RGPD 2025 : 1,15 Milliard d'Euros d'Amendes et Ce Qui Vous Attend en 2026
2025 restera comme l'année où le RGPD est devenu sérieux. 1,15 milliard d'amendes en Europe, des géants sanctionnés, et la CNIL qui cible désormais les PME. Bilan et ce qui vous attend.
En bref : Le RGPD en 2025
- Total des amendes Europe : 1,15 milliard d'euros en 2025 (330+ sanctions)
- Top 3 des sanctions : TikTok 530M€, Google 325M€, Meta 342M€ (cumul)
- Secteur le plus touché : Médias/Télécoms = 80% du montant total des amendes
- Cause n°1 : Mesures de sécurité insuffisantes (29% des cas)
- CNIL France : 87 sanctions (+107% vs 2024), 55M€ d'amendes nationales + 478M€ sur les géants
- Nouveauté : Les TPE/PME représentent désormais 32% des contrôles CNIL
- 2026 : La CNIL devient régulateur de l'IA Act = double contrôle RGPD + IA
2025, l'année où le RGPD a cessé d'être "optionnel"
On va être honnêtes : pendant des années, beaucoup d'entreprises ont traité le RGPD comme une case à cocher vaguement ennuyeuse. Une politique de confidentialité copiée-collée, un bandeau cookies bricolé, et hop, "on verra bien".
2025 a mis fin à cette illusion.
Les autorités européennes ont prononcé plus de 330 amendes pour un total de 1,15 milliard d'euros. Et ce ne sont plus seulement les GAFAM qui trinquent. La CNIL française a doublé le nombre de ses sanctions par rapport à 2024, et une bonne partie vise désormais des entreprises de taille moyenne.
Alors oui, TikTok a pris 530 millions, Google 325 millions, Shein 150 millions. Mais derrière ces gros titres, il y a aussi des PME, des e-commerçants, des éditeurs de logiciels qui ont reçu des amendes de quelques dizaines à quelques centaines de milliers d'euros. Et croyez-moi, pour une structure de 20 salariés, 50 000€ d'amende, ça fait très mal.
Les sanctions qui ont marqué 2025
Passons en revue les cas les plus significatifs de l'année. Pas pour le plaisir de pointer du doigt, mais parce que chaque sanction est une leçon sur ce qu'il ne faut pas faire.
TikTok : 530 millions d'euros
La plus grosse amende de l'année. L'autorité irlandaise (DPC) a sanctionné TikTok pour avoir transféré les données d'utilisateurs européens vers la Chine sans garanties suffisantes. En gros : vos vidéos de danse étaient accessibles depuis des serveurs chinois, et ça, le RGPD n'aime pas du tout.
Ce qui est intéressant avec ce cas, c'est qu'il tombe pile au moment où TikTok vient de changer de mains aux États-Unis. Les questions de transferts internationaux de données sont clairement LE sujet chaud du moment.
Google : 325 millions d'euros
La CNIL a frappé fort sur ce coup. Google s'est fait épingler pour deux raisons :
- Insertion de publicités entre les emails des utilisateurs Gmail sans leur accord
- Dépôt de cookies lors de la création de comptes Google sans consentement valide
Ce qui est notable ici, c'est que ce n'est pas une obscure violation technique. C'est du consentement mal géré, tout simplement. Le même problème que 90% des sites français ont avec leurs bandeaux cookies.
Meta : 342 millions d'euros (cumul)
Meta continue sa collection d'amendes avec 251 millions puis 91 millions d'euros supplémentaires en 2025. À ce stade, on se demande si Facebook et Instagram n'ont pas une ligne budgétaire "amendes RGPD" dans leurs comptes.
Shein : 150 millions d'euros
Le géant chinois de la fast-fashion a été sanctionné pour des cookies déposés dès l'arrivée sur le site, avant tout consentement. Un classique. Et aussi pour des transferts de données vers la Chine sans base légale suffisante.
Les "petites" sanctions qui font réfléchir
Au-delà des mastodontes, la CNIL a aussi sanctionné :
- Free : 42 millions d'euros (janvier 2026) pour une violation de données massive
- Nexpublica France : 1,7 million pour des mesures de sécurité insuffisantes sur un logiciel
- American Express : 1,5 million pour non-respect des règles sur les traceurs
- Mobius/Deezer : 1 million (sous-traitant responsable d'une fuite de données)
- Condé Nast : 750 000€ pour des cookies non conformes
- Candidats aux élections : 5 sanctions pour prospection politique sans consentement
Le message est clair : personne n'est à l'abri. Même un sous-traitant peut se retrouver sanctionné directement (cas Mobius/Deezer).
Pourquoi les amendes explosent ?
Trois raisons principales expliquent cette accélération.
1. Les autorités ont enfin les moyens
Pendant les premières années du RGPD (2018-2022), les autorités de protection des données manquaient de ressources. Traiter une plainte pouvait prendre des années. La CNIL avait une centaine d'agents pour contrôler des millions de sites.
Ça a changé. Les équipes ont été renforcées, les outils de contrôle automatisés se sont développés, et les procédures se sont accélérées. En France, la "procédure simplifiée" permet désormais de sanctionner rapidement (amendes jusqu'à 20 000€) sans passer par la formation restreinte complète.
2. La jurisprudence s'est clarifiée
En 2018, on était dans le flou. Qu'est-ce qu'un "consentement valide" ? Jusqu'où va le "droit à l'oubli" ? Quelles mesures de sécurité sont "suffisantes" ?
Après 7 ans de RGPD et des dizaines d'arrêts de la Cour de Justice européenne, les règles du jeu sont maintenant claires. Les entreprises ne peuvent plus plaider l'ignorance ou l'ambiguïté du texte.
3. Les plaintes ont explosé
Les citoyens européens connaissent désormais leurs droits. En 2024, la CNIL a reçu 15 350 plaintes et en a traité 15 639. C'est énorme. Et chaque plainte peut déclencher un contrôle.
Ajoutez à ça les 5 629 notifications de violation de données que les entreprises ont dû déclarer elles-mêmes (obligation RGPD), et vous comprenez pourquoi les autorités ont de quoi s'occuper.
Les chiffres de la CNIL en 2024 (et ce qu'ils annoncent pour 2025)
Le rapport annuel 2024 de la CNIL donne une idée de l'activité de l'autorité française :
| Indicateur | 2024 | Évolution |
|---|---|---|
| Contrôles effectués | 321 | +15% |
| Sanctions prononcées | 87 | +107% |
| Mises en demeure | 180 | - |
| Montant total des amendes | 55,2 M€ | - |
| Plaintes traitées | 15 639 | - |
| Notifications de violation | 5 629 | - |
Le chiffre qui saute aux yeux : +107% de sanctions entre 2024 et l'année précédente. La CNIL ne fait plus semblant.
Et attention : les 55,2 millions d'euros ne comptent que les amendes "classiques". Si on ajoute les sanctions prononcées contre les géants du numérique (Google 325M€, Shein 150M€...), le total CNIL France dépasse 478 millions d'euros pour 2025.
Les TPE/PME dans le viseur
C'est peut-être l'info la plus importante de cet article.
Jusqu'à récemment, la CNIL se concentrait sur les gros poissons. Logique : contrôler Google rapporte plus (en termes d'impact) que contrôler une boulangerie.
Mais ça change. En 2025, 32% des entreprises contrôlées étaient des PME ou TPE. Et sur les 87 sanctions prononcées, 69 l'ont été via la procédure simplifiée, qui cible précisément les petites structures.
Ce que ça signifie pour vous :
Si vous pensiez que votre petite entreprise passerait sous les radars, détrompez-vous. La CNIL utilise désormais des outils de contrôle automatisés qui scannent les sites web à grande échelle. Votre bandeau cookies non conforme peut être détecté sans qu'un agent CNIL ne visite jamais votre site manuellement.
2026 : l'IA Act entre en jeu
Comme si le RGPD ne suffisait pas, 2026 apporte une nouvelle couche de réglementation : l'IA Act.
Et devinez qui est chargé de le faire appliquer en France ? La CNIL (entre autres).
Depuis août 2025, la CNIL est officiellement l'une des autorités de régulation de l'intelligence artificielle. Elle contrôle notamment :
- Les pratiques de catégorisation biométrique
- La reconnaissance des émotions (interdite au travail et à l'école)
- Le scoring social
- L'identification biométrique à distance
- Les IA à haut risque (recrutement, crédit, santé...)
Concrètement : si vous utilisez une IA pour trier des CV, noter des candidats, ou évaluer la solvabilité de vos clients, la CNIL peut désormais vous contrôler à la fois sur le RGPD ET sur l'IA Act.
L'application complète de l'IA Act pour les systèmes à haut risque est prévue pour août 2026. D'ici là, les sanctions peuvent déjà tomber pour les pratiques interdites (manipulation, scoring social...) et les obligations de transparence (chatbots, deepfakes...).
Le lien RGPD + IA Act
Les entreprises qui ont déjà une bonne gouvernance RGPD seront mieux préparées pour l'IA Act. Les principes sont similaires : transparence, minimisation des données, évaluation des risques, documentation. Si vous êtes déjà conforme au RGPD, vous avez fait la moitié du chemin.
Les 5 erreurs qui coûtent le plus cher
En analysant les sanctions 2025, cinq types d'infractions reviennent constamment :
1. Cookies déposés sans consentement (29% des cas)
Le grand classique. Des traceurs qui se déclenchent avant que l'utilisateur ait cliqué sur "Accepter". Google, Shein, Condé Nast... tous sanctionnés pour ça.
2. Défaut de sécurité (29% des cas)
Bases de données mal protégées, mots de passe en clair, failles non corrigées. Quand il y a une violation de données, c'est souvent parce que les mesures de sécurité étaient insuffisantes.
3. Transferts internationaux non encadrés
Envoyer des données vers les États-Unis ou la Chine sans garanties appropriées. TikTok en est l'exemple parfait, mais beaucoup de PME utilisent des outils américains (Google Analytics, Mailchimp...) sans se poser la question.
4. Absence de base légale
Collecter et traiter des données sans avoir de justification valide (consentement, contrat, intérêt légitime...). Très fréquent dans le secteur public et l'éducation.
5. Non-respect des droits des personnes
Ne pas répondre aux demandes d'accès, de suppression ou de rectification. Ou y répondre en retard (le RGPD impose un délai d'un mois).
Comment éviter de rejoindre la liste des sanctionnés
Pas besoin de devenir expert en droit des données. Voici les bases qui vous protègent de 90% des risques :
C'est-à-dire : aucun cookie non essentiel déposé AVANT que l'utilisateur ait cliqué sur "Accepter". Pas de case pré-cochée. Un bouton "Refuser" aussi visible que "Accepter".
Qui explique clairement quelles données vous collectez, pourquoi, combien de temps vous les gardez, et avec qui vous les partagez. Pas un copier-coller incompréhensible de 30 pages.
Nom, adresse, SIRET, hébergeur... C'est obligatoire et ça prend 5 minutes à rédiger correctement.
Si quelqu'un vous demande ses données ou leur suppression, vous devez pouvoir répondre en moins d'un mois. Préparez un processus interne.
HTTPS sur votre site, mots de passe forts, mises à jour régulières, sauvegardes. Ce n'est pas du luxe, c'est le minimum légal.
Ce qui vous attend en 2026
Si 2025 était l'année des sanctions records, 2026 s'annonce comme l'année de la convergence. Le RGPD ne sera plus seul : l'IA Act, NIS 2 (cybersécurité), DORA (secteur financier) et le Digital Services Act forment un écosystème réglementaire de plus en plus dense.
Pour les entreprises, ça signifie :
- Plus de contrôles, sur plus de sujets
- Une CNIL avec un double pouvoir (RGPD + IA)
- Des outils de détection automatisés plus performants
- Une tolérance proche de zéro pour les non-conformités évidentes (cookies, mentions légales...)
La bonne nouvelle ? Se mettre en conformité n'a jamais été aussi accessible. Les outils existent, les bonnes pratiques sont documentées, et le coût de la conformité est infiniment inférieur au coût d'une sanction.
Vous préférez prévenir que guérir ?
RGPDKit génère automatiquement vos documents légaux conformes : mentions légales, politique de confidentialité, CGV, bandeau cookies. En 3 minutes, vous avez tout ce qu'il faut pour éviter les erreurs qui coûtent cher.
Vérifiez gratuitement la conformité de votre site →
Et si vous utilisez de l'IA sur votre site (chatbot, contenu généré...), pensez à ajouter les mentions d'utilisation de l'IA recommandées par l'IA Act. Mieux vaut anticiper que subir.
Besoin de générer vos documents RGPD ?
Créez vos Mentions Légales, Politique de Confidentialité et CGV en quelques minutes.
Commencer gratuitement