Panorama des délibérations de la CNIL en 2025 : quand les sanctions précèdent les recommandations

Les chiffres clés du bilan 2025

En 2025, l’activité répressive de la CNIL fut marquée par un nombre élevé de sanctions totales et un montant d’amendes record. En somme, 83 sanctions ont été rendues au total (16 en procédure ordinaire dont 10 publiées, 67 en procédure simplifiée), 143 mises en demeure et 31 rappels à la loi.

Le montant cumulé des amendes s’élève à 486 839 500 €. Bien que ce nombre record soit impressionnant, il est en réalité trompeur : 98 % du total des amendes est concentré sur deux décisions à l’encontre de groupes multinationaux, du secteur des technologies et de la mode, publiées le même jour.¹

Seules les dix délibérations rendues publiques font l'objet du présent panorama. Les soixante-sept décisions en procédure simplifiée n'étant jamais publiées, les enseignements qu'elles recèlent restent hors d'atteinte du praticien, sauf à les entrevoir, indirectement et de façon nécessairement filtrée, à travers les Tables Informatique et Libertés que la CNIL publie à destination des professionnels.

Ce que 2025 révèle au-delà des chiffres

L’activité de 2025 est révélatrice de plusieurs courants de la CNIL.

On observe une politique répressive à deux vitesses : si l’autorité traite quelques dossiers emblématiques à montants records, elle procède à un flux continu et massif de sanctions simplifiées peu visibles ciblant des acteurs plus petits comme les TPE et les professions libérales.

L’essentiel des sanctions rendues illustre la consolidation d’une doctrine existante et bien en place pour l’autorité. La CNIL ne découvre pas de nouvelles infractions en 2025, elle approfondit et systématise les thèmes engagés depuis 2020 en matière de cookies, de prospection commerciale ou de sous-traitance.

Par ailleurs, les contrôles visant des acteurs internationaux s’accélèrent. Ces procédures impliquent nécessairement des questions de compétence, qui deviennent de plus en plus sophistiquées.

A ces questions de compétence visant les traitements transfrontaliers, s’ajoute l’articulation du RGPD avec la directive ePrivacy. Le sujet des cookies continue son bout de chemin en application des recommandations de la CNIL. Le respect des exigences de consentement, tant en matière de cookies qu’en matière de prospection commerciale réapparait également dans les décisions publiées en 2025. En parallèle, les sujets classiques du RGPD tels que l’application des différents principes ou les relations entre responsable de traitement et sous-traitant conservent leur place.

Cinq ans après les lignes directrices : la tolérance zéro

En 2020, la CNIL a posé et éclairci le cadre réglementaire en matière de cookies dans sa recommandation du 17 septembre 2020. A cet égard, la CNIL estime que ces recommandations et les sanctions qui en font l’application sont connues de tous les opérateurs et justifie ainsi la sévérité des sanctions prononcées.

Ainsi, une société déjà condamnée par le passé en matière de cookies a été plus strictement sanctionnée par la CNIL dans une nouvelle délibération.² Dans cette dernière, la CNIL revient sur les sanctions précédemment infligées à ce même acteur en 2020, et considère, comme en matière pénale, que la récidive constitue un facteur aggravant dans la détermination des sanctions sur ce même sujet des cookies.

En parallèle, une mise en conformité partielle intervenant en cours de procédure ne saurait conduire à une exonération de sanction. Ainsi, la société visée par la Délibération SAN-2025-010³ avait admis le manquement relatif à une erreur de paramétrage d’un cookie et l’avait désactivé rapidement.

La CNIL a pris « acte des corrections que la société indique avoir réalisées » mais relève tout de même les manquements qui subsistent pour le passé.⁴ Cette coopération est bien prise en compte par la CNIL pour atténuer la sanction, sans la faire disparaître.

En 2025, ce sont 21 sanctions prononcées qui concernent les cookies toutes procédures confondues. Malgré le nombre important de décisions déjà rendues sur le sujet, il s’agit encore d’un thème prioritaire pour l’autorité.

Ce volontarisme en matière de cookies n'est pas étranger à la configuration juridictionnelle particulière de ce contentieux.

En mobilisant l'article 82 de la Loi Informatique et Libertés (LIL), transposant la directive ePrivacy, la Formation restreinte retient une compétence exclusive qui lui permet d'agir de manière autonome, sans recourir au mécanisme de guichet unique du RGPD : en qualifiant le grief principal de manquement à l'article 82 de la LIL, la CNIL espère s’affranchir du dispositif de coopération qui lui aurait imposé d'associer d’autres autorités de protection des données.

Ce choix de terrain n'est pas neutre, et il n'est pas surprenant que la CNIL le cultive.

Le dépôt de cookies sans consentement et leur persistance après son retrait

L’utilisateur qui navigue sur un site web voit s’afficher dans un premier temps un bandeau de cookies. Ce bandeau lui permet de donner ou non son consentement au dépôt et à la lecture de cookies sur son terminal. Les finalités du traitement sont également précisées par ce bandeau.

Le consentement est en effet requis par l’article 82 de la LIL pour déposer et lire des cookies, à moins de pouvoir bénéficier d’une exemption. Les méthodes de recueil du consentement suivent, elles, le régime de l’article 4 du RGPD.

Les manquements à l’exigence de consentement de l’utilisateur avant tout dépôt de cookies sont illustrés différemment par les diverses décisions rendues en 2025.

Au stade de la première visite d’un utilisateur, la CNIL rappelle que des cookies ne peuvent pas être déposés avant que l’utilisateur n’ait eu l’occasion d’exprimer son consentement. A ce titre, une société est condamnée principalement pour le dépôt de 10 traceurs avant l’apparition du bandeau cookies.⁵ Deux autres acteurs sont sanctionnés pour ce grief.

En parallèle, l’information fournie par le bandeau cookies a été jugée incomplète, car il était simplement précisé que l’expérience utilisateur était améliorée.

Pour être valide, le consentement doit être libre et éclairé. Cela implique un niveau d’information clair, sans que l’utilisateur ne soit trompé dans la décision qu’il s’apprête à prendre.

Dans la Délibération SAN-2025-004, il était reproché des parcours de navigation biaisés. Le parcours « sans cookies » était moins attrayant que le parcours « avec cookies », poussant ainsi l’utilisateur, selon la CNIL, à se tourner vers l’acceptation des cookies : le choix par défaut ne constituerait pas un consentement libre au sens du RGPD.

Depuis 2025, la CNIL s’attache désormais aux conséquences du retrait du consentement d’un utilisateur. En effet, ce dernier peut accepter le dépôt de cookies dans un premier temps, puis retirer son consentement dans un second temps.

Dans ces circonstances, le responsable de traitement est tenu de respecter la décision de la personne concernée en désactivant les cookies en cause.

La CNIL va cependant plus loin et estime que le maintien des cookies sur le terminal d’un utilisateur, malgré le retrait du consentement de ce dernier, constitue ainsi un manquement à l’article 82 de la LIL. C’est particulièrement le cas des cookies à des fins de marketing.⁷

Dans sa Délibération SAN-2025-011, la Formation restreinte rappelle le principe posé dès 2023 : la personne concernée a le droit de retirer son consentement et le responsable de traitement doit en tirer les conséquences nécessaires.⁸

Ce principe, dont la portée semblait bien établie, s'est révélé plus complexe à mettre en œuvre que prévu, sur deux plans distincts.

Sur le plan technique d'abord. Rendre effectif le retrait du consentement ne se limite pas à interrompre les nouvelles opérations de lecture, il doit également mettre fin au dépôt des cookies. Ne plus lire un cookie ne suffit plus, la CNIL exige désormais qu’il soit supprimé du terminal de l’utilisateur.

La Formation restreinte a précisé cette exigence dans le cadre d'une procédure d'injonction relative à un opérateur de télécommunications, dont la clôture a été prononcée en septembre 2025.⁹ La mise en conformité validée par la CNIL avait consisté, pour les cookies du domaine propre de la société, à étendre le script d'effacement à l'ensemble des cookies soumis au consentement, et non à leur seule désactivation.

Pour les cookies tiers, la Formation restreinte a retenu que la responsabilité de l'éditeur se limitait à interrompre les requêtes depuis son site, faute de maîtrise technique sur les serveurs partenaires.

Sur le plan des données traitées ensuite. La question se pose de savoir ce qu'il advient des données déjà collectées à partir de ces cookies. La Formation restreinte a retenu que le retrait du consentement fait obstacle à la poursuite de toute utilisation de ces données, y compris à des fins distinctes, en l'espèce l'amélioration d'algorithmes de ciblage. Le raisonnement repose sur la lecture combinée des articles 7, paragraphe 3 et 17, paragraphe 1 du RGPD : lorsque le consentement constitue le seul fondement licite possible et qu'il est retiré, il n'existe plus de base légale permettant de conserver les données à caractère personnel ainsi collectées.

Cette position a été confirmée par le Conseil d'État en mars 2026, qui a expressément écarté l'argument de l'intérêt légitime comme fondement alternatif, dès lors que les données en cause ne pouvaient initialement être collectées que sur la base du consentement.¹⁰

Il convient néanmoins de circonscrire la portée de cette doctrine. Le retrait du consentement sur une bannière cookies n'emporte pas mécaniquement une demande d'effacement au sens de l'article 17 RGPD, lequel exige une démarche active de la personne concernée. Ce qui est en jeu dans la jurisprudence du Conseil d’Etat, c'est l'impossibilité pour le responsable de continuer à utiliser activement des données dépourvues de base légale après retrait, et non une obligation d'effacement instantané déclenchée par tout clic sur « refuser ».

Cette solution appelle une réserve que la Formation restreinte formule elle-même sans la trancher. Dans sa Délibération de clôture SAN-2025-007, elle relève qu'en l'absence de suppression des cookies tiers, le suivi de navigation de l'utilisateur peut se poursuivre sur les sites partenaires malgré le retrait du consentement, avant d'indiquer que cette situation excède la responsabilité de l'éditeur faute de maîtrise technique.

La Formation restreinte renvoie ainsi aux partenaires une obligation qu'elle reconnaît simultanément ne pas pouvoir faire respecter par l'éditeur. Cette impasse doctrinale est d'autant plus préoccupante que les mises en demeure adressées aux organisations en matière de cookies ne distinguent pas toujours, dans leurs injonctions de mise en conformité, entre cookies propriétaires et cookies tiers.

Les responsables de traitement se trouvent ainsi exposés par ces mises en demeure à une exigence dont la CNIL avait pourtant acté, dans la Délibération de clôture SAN-2025-007, le caractère partiellement inatteignable. Nul doute que l’extension aux cookies tiers d’une obligation d’effacement faisant suite au retrait du consentement, émergera dans les prochains mois.

Pratiques spécifiques sanctionnées : cookie wall et dark patterns

Les lignes directrices du Comité européen de la protection des données (CEPD) sur le consentement¹¹ et sur les dark patterns¹² ont progressivement investi le raisonnement de la Formation restreinte. En 2025, deux décisions les mobilisent de manière explicite.

La Délibération SAN-2025-004¹³ est le cas d’espèce le plus développé. Le parcours de navigation proposé comportait une asymétrie manifeste : l'option « avec cookies » était présentée de manière simple et valorisante, tandis que le parcours alternatif « sans cookie » nécessitait plusieurs clics supplémentaires et s'accompagnait d'une présentation moins avantageuse.

La CNIL qualifie ce design de dark pattern et considère qu'il prive le consentement de son caractère libre. Cette analyse s'inscrit dans la continuité des premières décisions sur les interfaces biaisées rendues par l'autorité dès 2021.

La Délibération SAN-2025-005¹⁴ retient deux interfaces de gestion des traceurs défaillantes. La bannière principale ne permettait pas à l'utilisateur d'accéder facilement à l'ensemble des finalités et des destinataires. Le panneau de gestion des préférences était structuré de manière à rendre difficile le refus global.

La CNIL distingue ces défauts de conception de la notion de cookie wall au sens strict, qui consiste à conditionner l'accès à un service au consentement au dépôt de cookies. Le cookie wall n'est pas en tant que tel illicite (le Conseil d’Etat l’avait rappelé à la CNIL dans une décision du 19 juin 2020, n°434684), mais il doit être accompagné d'une alternative réelle à l'accès au service, et le consentement ainsi recueilli doit être libre, ce qui suppose que l'alternative ne soit pas illusoire ou excessivement dégradée.

Des concepts pour lesquels les professionnels manquent encore à ce jour de cas concrets officiellement admis par le régulateur.

On ne saurait manquer de relever que la CNIL sanctionne des comportements susceptibles de relever de la notion de cookie wall sans avoir jamais publié, dans une recommandation formelle, les critères positifs permettant à un opérateur de concevoir un tel mécanisme de manière conforme.

La Formation restreinte raisonne par analogie avec les lignes directrices du CEPD, dont la portée normative en droit interne est indirecte, sans que ces orientations n’aient été transposées dans un texte de droit positif opposable.

Les opérateurs se trouvent ainsi exposés à un risque de sanction dont les contours ne sont accessibles qu’a posteriori, au gré de la jurisprudence de la Formation restreinte.

La doctrine des data brokers : une ligne jurisprudentielle cohérente mais isolée

La CNIL a commencé à structurer sa doctrine sur les courtiers de données à partir de 2023.¹⁵ Plusieurs décisions antérieures ont progressivement dessiné un cadre d'analyse cohérent pour la responsabilité des acteurs de l'écosystème de la donnée commerciale. Les délibérations de mai 2025 s'inscrivent dans ce fil et le prolongent.¹⁶

Le schéma factuel est identique dans les deux cas : une société collecte des données à caractère personnel par le biais de formulaires de jeux-concours hébergés sur des sites tiers, puis transmet ces données à des partenaires commerciaux qui s'en servent pour de la prospection par voie électronique.

La CNIL a identifié ce modèle comme structurellement problématique au regard des exigences du règlement, et elle y revient avec une régularité qui signale une volonté de clore le débat doctrinal sur ce point.

La position de l'autorité est nette : le responsable de traitement qui externalise la collecte de données auprès de partenaires ou de courtiers ne peut pas se décharger sur eux de l'obligation de s'assurer de la licéité de cette collecte. Un engagement contractuel du partenaire à respecter le RGPD, même solidement rédigé, ne suffit pas. Le responsable de traitement doit vérifier par lui-même que les données qu'il reçoit ont été collectées avec un consentement valide. Tout dépend néanmoins de la qualification du primo-collectant : celui-ci est-il un sous-traitant, un responsable autonome de la collecte ou un responsable conjoint avec le courtier en données ?

La CNIL déduit cette exigence de preuve du consentement par chaque acteur d’un écosystème de l’article 7 du RGPD et du principe d’accountability, interprétés de manière extensive. Toutefois, le niveau de diligence requis demeure indéterminé : ni la délibération ni les lignes directrices disponibles ne précisent la profondeur de vérification attendue. La seule certitude publiée à ce jour est que les exigences conçues par la Formation restreinte ne sont pas remplies.

Cette indétermination fragilise la prévisibilité de la norme et remet en cause la viabilité des modèles d’achat, de location ou de partage de données au sein d’écosystèmes composés de responsables de traitement autonomes ou de responsables conjoints, la nature de leur rôle n’étant pas clairement déterminée par la CNIL.

La validité du consentement : les enseignements des formulaires de jeux-concours

Les critères du consentement valide sont définis à l'article 4, point 11 du RGPD : libre, spécifique, éclairé et univoque. Ces quatre conditions s'apprécient cumulativement. Les formulaires de jeux-concours étaient utilisés dans deux affaires ayant fait l’objet de ces délibérations de la Formation restreinte en mai 2025.

Dans la première affaire, le formulaire de participation comportait un bouton unique « JE PARTICIPE » qui valait à la fois inscription au jeu-concours et accord à la transmission des données à des partenaires commerciaux. Il existait bien un lien permettant de participer sans accepter la prospection, mais il était présenté en caractères nettement plus petits que le bouton principal et se fondait dans le corps du texte, au point d'être pratiquement invisible pour un utilisateur ordinaire.

La seconde affaire présente le même défaut de conception, auquel s'ajoute un manquement distinct en matière de durées de conservation : les données de prospects inactifs étaient conservées en base active pendant quatre ans sans distinction.

La CNIL remet en cause le critère retenu par la société pour définir un contact « actif » : l'ouverture d'un email suffit selon la société mise en cause à justifier la prolongation de la conservation. Pour la CNIL, ce critère est insuffisant.

Ce point mérite l'attention des directions de la relation client : la définition du contact actif est un paramètre essentiel de la politique de conservation des données prospects, et les critères retenus doivent pouvoir être justifiés au regard des finalités du traitement.

La Formation restreinte rejette le critère du « contact actif » sans définir positivement ce qui constituerait un recueil de consentement conforme dans ce type de configuration.

Cette asymétrie, à savoir indiquer ce qui ne marche pas sans établir de référentiel positif, laisse les opérateurs dans une situation d’incertitude persistante quant aux modalités acceptables de collecte par email.

La preuve du consentement et les durées de conservation

L'article 7, paragraphe 1 du RGPD place sur le responsable de traitement la charge de démontrer que la personne concernée a valablement consenti au traitement de ses données. Cette exigence, souvent traitée comme une formalité, est en réalité une obligation substantielle qui impose des choix d'architecture technique et organisationnelle.

Une société s'est ainsi trouvée dans l'incapacité de produire des preuves suffisantes du consentement recueilli deux ans auparavant.¹⁷ Ce grief est distinct et cumulatif par rapport à l'invalidité des formulaires eux-mêmes. A supposer que les formulaires eussent été conformes, l'absence de preuve du consentement individuellement exprimé par chaque personne aurait suffi à fonder une sanction autonome.

La CNIL a tendance à traiter ces deux manquements séparément depuis 2023, ce qui alourdit mécaniquement le quantum de la sanction.

Sur le plan pratique, la conservation des preuves de consentement implique a minima la journalisation horodatée du contenu exact du formulaire affiché au moment du recueil, de l'action accomplie par l'utilisateur, de l’identification suffisante de celui-ci (quoique indéterminée par la CNIL à ce stade) et de la version des mentions d'information.

Cette journalisation doit être conservée pendant toute la durée d'utilisation des données et pendant une durée suffisante après leur effacement pour pouvoir répondre à un contrôle. Quelle durée de conservation de ces chaînes d’identification apportant la preuve du consentement individuel d’une personne faut-il retenir ? Peuvent-elles excéder la conservation naturelle justifiée par la finalité initiale du traitement ? Nous le saurons peut-être dans les mois qui suivent.

L’article 82 LIL et le guichet unique : une tension persistante

Deux Délibérations de la Formation restreinte prononcées cette année illustrent parfaitement les problèmes de compétence soulevés par l’article 82 de la LIL, la directive ePrivacy et le mécanisme de guichet unique du RGPD.¹⁸

En l’espèce, les multinationales contestaient la compétence de la CNIL : pour elles, des données personnelles et des obligations issues du RGPD sont en cause. Le RGPD serait donc applicable et l’autorité irlandaise serait compétente en application du système de guichet unique du RGPD puisque les deux sociétés sont établies en Irlande.

En droit français, la LIL transpose la directive ePrivacy à l’article 82 de la LIL, qui régit l’exigence de consentement pour l’accès ou l’inscription d’informations sur le terminal d’un utilisateur (article 5, paragraphe 3 de la directive ePrivacy).

Au titre de la directive ePrivacy, chaque Etat membre conserve la compétence pour appliquer sa propre loi de transposition. Ces règles sont indépendantes du régime du RGPD, qui prévoit l’application du mécanisme de guichet unique dans l’hypothèse d’un traitement de données transfrontalier. Dans cette hypothèse, l’autorité compétente, dite chef de file, est celle de l’Etat membre de l’établissement principal. Ce mécanisme propre au RGPD ne s’étend pas aux éléments de la directive ePrivacy.

Or, dans ces cas d’espèce, la CNIL semble se dire compétente en appliquant l’article 82 de la LIL et le régime de la directive ePrivacy. Le guichet unique n’est donc pas applicable. La désignation d’une autre autorité chef de file n’est pas envisageable non plus.

Ce faisant, deux éléments d’analyse manquent encore à ce stade. En premier lieu, la CNIL balaye la potentielle compétence d’autorités tierces pour se désigner compétente en vertu du régime ePrivacy, et ce pour des traitements transfrontaliers effectués par des sociétés établies en Irlande. En deuxième lieu, il ne suffit pas de répéter la jurisprudence de la Cour de Justice de l’Union européenne (CJUE) pour épuiser le cadre légal en vigueur. En effet, la transposition du RGPD en droit français, auquel la LIL renvoie par références, n’a pas isolé l’article 82 sur les cookies du reste de la LIL. Au contraire, en conférant à la CNIL des pouvoirs d’investigation, de contrôle et de sanction pour « les dispositions de la présente loi », la LIL soumet au mécanisme de coopération entre autorités et de guichet unique, quelle que soit l’article ou l’obligation dont la CNIL contrôle le respect. Y compris l’article 82. Ainsi, la question n’a pas encore été soulevée, de savoir ce que la loi française prévoit et qui n’a pas été conçue par le RGPD et par la directive ePrivacy, ces deux textes ayant été adoptés à 14 années d’écart.

Par conséquent, l’articulation par la CNIL, tant matérielle que géographique des deux textes, le RGPD et la directive ePrivacy, pose question. En effet, bien qu’elle considère que la collecte de cookies dépend exclusivement de la directive ePrivacy, elle n’hésite pas à faire application des dispositions du RGPD pour les modalités du consentement, les traitements liés aux cookies (analyse des données ultérieure par exemple) et le régime de sanction.

Or, à considérer que le sujet repose sur les modalités du consentement issues du RGPD, le mécanisme du guichet unique pourrait aisément s'appliquer. L'une des sociétés condamnées a d'ores et déjà annoncé un recours devant le Conseil d'État ainsi qu'une possible question préjudicielle à la CJUE sur ce point.

La notion d’établissement « dans le cadre des activités » : doctrine CJUE

L’autre aspect sous-jacent derrière la compétence géographique de la CNIL est celui de l’établissement principal de la société en cause. La compétence de l’autorité chef de file est déterminée selon le lieu de l’établissement principal de l’organisation.

La CJUE a adopté une conception large de l’établissement principal. A l’occasion de l’arrêt Google Spain du 13 mai 2014¹⁹, la CJUE précise que la qualification d’établissement principal ne dépend pas de la forme juridique adoptée par cet établissement. Il convient plutôt de regarder « l’exercice effectif et réel d’une activité au moyen d’une installation stable ». La réalité de l’établissement s’apprécie donc in concreto. L’établissement sera qualifié de principal selon les moyens qui lui sont conférés et son activité réelle, peu importe qu’elle ne soit pas d’une grande importance.

La CNIL reprend régulièrement cette doctrine pour expliquer sa compétence et la présence d’un établissement sur le territoire français. Ainsi la société du groupe international établie en France, chargée de la promotion et des ventes publicitaires en France constitue bien un établissement « dans le cadre des activités » duquel les traitements de cookies sont effectués.²⁰

La décision relève par ailleurs les relations entre la maison mère du groupe et la société française. Les deux entités ont en effet passé un contrat de prestation de services qui semble restreindre l’activité de l’établissement français au simple marketing en France et au contact avec les autorités françaises. Les contrôles opérés par la CNIL démontrent cependant le lien de contact entre les établissements étrangers et le français, qui sont impliqués dans les produits déployés dans l’espace européen. Les activités de la société française n’étaient pas complètement distinctes des activités du groupe. Elles étaient même interdépendantes, puisque la filiale française permettait également de faire le pont entre annonceur et maison mère.

En pratique, cela révèle qu’une structure organisationnelle matricielle ne fait pas obstacle à la compétence de la CNIL. L’argument de la filiale isolée est inopérant malgré la forme sociale, les statuts et la présentation distincte des activités.

La compétence extraterritoriale de la CNIL sur un sous-traitant hors UE

La Délibération SAN-2025-014 explore une configuration distincte : une société établie en Israël, sans établissement dans l'Union européenne, soumise à la compétence de la CNIL sur le fondement de l'article 3, paragraphe 2, sous b) du RGPD.²¹ Cette disposition étend le champ d'application du règlement aux traitements qui sont liés au suivi du comportement de personnes qui se trouvent sur le territoire d'un État membre.

La société en cause était le sous-traitant d’une société établie en France. À la suite d'une violation de données survenue en novembre 2022, il est apparu que la société israélienne avait conservé les données de plus de 46 millions d'utilisateurs bien après l'expiration de son contrat avec le responsable de traitement, et que des salariés de la société avaient copié ces données dans un environnement non productif sans instruction de ce dernier.

La CNIL s'est déclarée compétente pour sanctionner directement ce sous-traitant établi hors de l'Union, au motif que le traitement en cause était en lien avec le suivi du comportement d'utilisateurs situés en France.

Cette Délibération confirme qu'il n'existe pas de zone franche pour les prestataires établis dans des pays tiers qui participent à des activités de traitement concernant des personnes situées dans l'Union.

Le principe de minimisation : ne collecter que ce qui est nécessaire

L'article 5, paragraphe 1, sous c) du RGPD impose que les données collectées soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Ce principe de minimisation est l'un des plus anciens du droit des données personnelles et l'un de ceux que la CNIL applique avec la plus grande régularité depuis plusieurs années.

En 2025, deux Délibérations l'illustrent de manière particulièrement saisissante.

Dans l'affaire donnant lieu à la Délibération SAN-2025-011²², la Formation restreinte constate que la société enregistrait systématiquement l'intégralité des conversations téléphoniques avec ses clients dès la fin des mentions d'information légales, y compris les périodes de mise en attente. Sur environ 1,2 million d'appels traités en 2022, la moitié avaient été enregistrés sans que les finalités déclarées (formation des équipes, contrôle qualité, gestion des réclamations) justifient une captation aussi étendue.

La Délibération SAN-2025-008 présente un cas d’espèce dans lequel des caméras et des microphones dissimulés avaient été installés dans les zones de réserve d’un grand magasin.²³ La captation permanente d'images et de sons dans des espaces réservés aux salariés dépasse largement ce qu'un objectif de sécurité des locaux pourrait justifier. Le principe de minimisation s'applique non seulement au contenu des données collectées mais aussi aux modalités et à l'étendue de leur captation.

La vidéosurveillance des salariés : un contentieux en forte hausse

La vidéosurveillance des salariés est identifiée comme un thème prioritaire de contrôle par la CNIL depuis 2024. En 2025, seize organismes ont été sanctionnés à ce titre toutes procédures confondues, une progression sensible par rapport aux neuf sanctions de 2024 et aux quatre de 2023 sur ce sujet.

La Délibération SAN-2025-008 précitée est la référence publique de cet exercice. La surveillance permanente des salariés est contraire au règlement sauf circonstances exceptionnelles dûment proportionnées. Les caméras dissimulées, qui privent les salariés de toute possibilité d'exercer leurs droits d'information, d'accès et d'opposition, sont soumises à une exigence de justification particulièrement rigoureuse que l'autorité a peu de chances de reconnaître dans des cas ordinaires.

Pour les responsables des ressources humaines et les DPO de grandes entreprises, les dispositifs de surveillance des salariés (vidéosurveillance, géolocalisation, contrôle des communications) font l'objet d'une vigilance accrue de la CNIL. Une analyse d'impact devrait être systématiquement conduite avant tout déploiement de ce type de dispositif.

La sécurité des données : l’article 32 RGPD en pratique

L'article 32 du RGPD impose la mise en place de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. La CNIL a progressivement construit, à travers ses décisions et ses guides pratiques, un corpus de standards de référence que les opérateurs sont invités à respecter. L'écart à ces standards doit être justifié par des mesures alternatives d'effet équivalent.

La Délibération SAN-2025-015 est particulièrement instructive à cet égard.²⁴ Cette société éditait un logiciel de gestion des dossiers des maisons départementales des personnes handicapées, traitant donc des données relatives au handicap relevant des catégories particulières au sens de l'article 9 du RGPD.

La CNIL constate des manquements cumulés : utilisation de l'algorithme SHA-1 pour la signature numérique, technologie abandonnée par l'ANSSI depuis 2017, chiffrement des mots de passe par SHA-256, une fonction générique inadaptée au stockage sécurisé, pour lequel des fonctions dédiées comme bcrypt ou Argon2 sont recommandées, et des vulnérabilités non corrigées dans un système traitant des données parmi les plus sensibles.

La Délibération SAN-2025-017²⁵ illustre un manquement récurrent en matière de sécurité : une politique de mots de passe présentant une entropie de 26 bits au lieu des 50 bits minimum requis, et un stockage par hachage SHA-256 considéré comme insuffisant au regard de sa rapidité d'exécution pour un attaquant.

La Formation restreinte retient ces manquements en se fondant explicitement sur ses propres recommandations de 2022 et sur les guides de l'ANSSI. Il convient cependant de relever que la société n'était pas sans argument : elle faisait valoir que les recommandations de l'ANSSI elles-mêmes qualifiaient SHA-2 de solution « semblant au premier abord » adaptée, avant de la nuancer, formulation que la CNIL a reconnue tout en l'écartant au motif que le sens définitif de la recommandation était suffisamment clair.

C'est précisément l'argument que le principe de légalité des délits et des peines devrait interdire : sanctionner sur le fondement d'un standard de soft law dont l'interprétation est elle-même discutée dans le texte de référence invoqué.

La CNIL n'a pas adopté, par voie réglementaire, d'obligation expresse d'utiliser une fonction de hachage lente. Elle a créé, par une recommandation non impérative, une norme de fait opposable, puis a sanctionné sa méconnaissance en traitant cette norme comme si elle avait valeur de règle de droit.

La société avait soulevé ce moyen et la Formation restreinte ne l'a malheureusement pas examiné sérieusement.

L’analyse d’impact : une obligation encore trop souvent méconnue

L'article 35 du RGPD impose la réalisation d'une analyse d'impact (AIPD) avant tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. Le CEPD a publié ses lignes directrices sur le ciblage des utilisateurs de médias sociaux²⁶, qui identifient précisément ce type de traitement comme relevant de cette obligation.

La Délibération SAN-2025-017 constate l'absence d'une telle analyse pour le traitement de ciblage publicitaire via la plateforme.²⁷ Ce traitement impliquait des données à grande échelle, un croisement avec les données du réseau social et une situation de responsabilité conjointe avec la plateforme. Ces trois éléments, pris ensemble, déclenchaient sans ambiguïté l'obligation de réaliser une analyse d'impact.

La Formation restreinte retient l'absence d'AIPD comme manquement autonome, au motif que le traitement réunissait deux des neuf critères identifiés par le CEPD (traitement à grande échelle et croisement de données) ce qui, selon les lignes directrices G29 de 2017, justifie « dans la plupart des cas » la réalisation d’une AIPD.

Plus fondamentalement, l'article 35 du RGPD fait de l'AIPD l'instrument permettant de déterminer si un traitement présente effectivement un risque élevé. Il s’agit d’un outil d'évaluation, non la conclusion de cette évaluation. Retenir son absence comme manquement suppose que le risque élevé était déjà établi indépendamment d'elle, ce que la délibération ne démontre pas autrement que par l'application mécanique des critères quantitatifs.

Enfin, l'obligation pour les co-responsables de traitement de « conduire conjointement » l'AIPD, posée par les lignes directrices du CEPD, se heurte à une limite opérationnelle que la Formation restreinte passe sous silence : la plateforme partenaire ne divulgue généralement pas à l'annonceur les paramètres techniques de son propre traitement.

Enjoindre aux annonceurs de conduire une AIPD conjointe portant sur un traitement dont ils ne maîtrisent pas les modalités revient à leur imposer une obligation dont l'exécution dépend du bon vouloir d'un tiers sur lequel ils n'ont aucune emprise contractuelle.

La responsabilité du responsable de traitement vis-à-vis de ses data brokers

Dans une chaîne de traitement de données, la question de la responsabilité du consentement en amont se pose avec acuité.

La Formation restreinte retient que le responsable de traitement ne peut se décharger sur ses fournisseurs de données de l'obligation de s'assurer de la licéité de la collecte, ni par déclaration contractuelle, ni par clause de garantie²⁸.

Cette position repose sur une lecture extensive du principe d'accountability posé à l'article 5, paragraphe 2 du RGPD : le texte n'impose pas expressément au responsable de traitement de vérifier les modalités de collecte chez un partenaire qui est lui-même un responsable autonome.

La CNIL construit cette obligation par inférence, sans en préciser le niveau de diligence requis. Les opérateurs sont ainsi informés de ce qui ne suffit pas (i.e. une clause contractuelle, une déclaration du fournisseur) sans qu'un référentiel positif permette de déterminer ce qui serait considéré comme suffisant.

La Délibération SAN-2025-001 illustre en outre un paradoxe auquel la délibération ne répond pas. La Formation restreinte retient la négligence de la société comme facteur aggravant, au motif qu'elle « avait bien connaissance » des défauts des formulaires de ses partenaires. Cette connaissance avait précisément été établie par les propres contrôles de conformité que la société avait conduits auprès d'eux. La CNIL sanctionne donc plus sévèrement une société pour avoir formalisé ses audits fournisseurs, puisque c'est cette formalisation qui a rendu opposable sa connaissance des lacunes.

Une organisation qui n'aurait pas conduit ces audits n'aurait pas pu se voir reprocher d'en avoir ignoré les résultats. L'incitation créée par cette doctrine est, à tout le moins, ambiguë.

Les obligations propres du sous-traitant

La Délibération SAN-2025-014²⁹ éclaire la portée des obligations pesant directement sur les sous-traitants.

Le responsable du traitement en l’espèce a été victime d’une violation de données en novembre 2022, avec plus de 46 millions de données d’utilisateurs mises en vente sur le darknet. Ce dernier identifie son sous-traitant établi à l’étranger comme étant à l’origine de l’incident.

Le sous-traitant est attrait devant la CNIL à l’issue de cette violation de données et de son implication. Tout d’abord, en raison de son manquement à l’article 28, paragraphe 3, point g du RGPD : le sous-traitant a conservé après la fin du contrat avec Deezer une copie des données de plus de 46 millions d’utilisateurs. Le contrat liant les parties avait pourtant pris fin le 1er décembre 2020 et le sous-traitant arguait avoir supprimé toutes les données. L’infraction à l’obligation de suppression des données à l’issue d’une relation contractuelle est caractérisée : le sous-traitant n’avait pas à conserver, jusqu’en 2023, des données issues d’un contrat qui avait pris fin.

En violation de l’article 29 du RGPD, la Commission a relevé un traitement hors instructions du responsable de traitement. En effet, les salariés du sous-traitant avaient copié des données dans un environnement non productif afin de procéder à des tests et des améliorations de leur système. Pour la CNIL, cette opération revêt un possible caractère délibéré, le sous-traitant ayant soutenu que la copie pouvait « relever de l’exécution normale du contrat ». Cet argument est écarté, d’autant plus que le traitement bénéficiait tant au sous-traitant qu’au responsable de traitement.

Enfin, il est reproché au sous-traitant d’avoir manqué à l’obligation d’établir un registre de traitement dans le sens de l’article 30 du RGPD. Le sous-traitant doit en effet tenir un registre des activités de traitement en sa qualité de sous-traitant, distinct de celui du responsable de traitement. Les différents contrats et documents ne suffisent pas à répertorier les informations nécessaires au suivi des données traitées dans le cadre de la relation avec le responsable de traitement.

Il ressort de cette délibération que la défense consistant à invoquer des actes isolés de salariés à l’insu de la direction est inopérante. La CNIL rappelle que la société est responsable des actions de ses préposés et qu’il lui appartient de vérifier les traitements de données qu’elle met en place.

En présence d’une société établie en dehors du territoire français, la compétence territoriale de la CNIL est de nouveau contestée. En l’absence de guichet unique pour le sous-traitant, chaque autorité nationale compétente peut intervenir, ce qui accroît l’exposition multi-juridictionnelle.

Le contrat de sous-traitance : instrument nécessaire mais non suffisant

En matière de sous-traitance le contrat est un instrument nécessairement au cœur de la relation avec le responsable de traitement. L’article 28 du RGPD impose la conclusion d’un contrat précisant notamment la durée, la finalité du traitement ou l’obligation de supprimer des données à la fin de la relation contractuelle.

Dans la Délibération précitée³⁰, le contrat passé entre le sous-traitant et le responsable du traitement précisait expressément que les données devaient être supprimées à l’issue de la relation contractuelle.

Or, comme souligné précédemment, la CNIL constate que cette clause n’a pas été respectée en pratique.

En vertu de l’article 28 du RGPD, le contrat est bien obligatoire mais son existence ne dispense pas le responsable de traitement de s’assurer du respect effectif des obligations contractuelles par des démarches d’audits, de vérifications périodiques, ou en mettant en place des procédures de fin de contrat.

Même dans une situation où le sous-traitant est indéniablement fautif, le responsable de traitement conserve sa part de responsabilité en veillant au respect de ses instructions par son sous-traitant ou de ses obligations par un responsable conjoint.

Le contrat est un outil parmi d’autres pour s’assurer de la conformité du cocontractant, sans que le responsable de traitement ne puisse se reposer complètement dessus. Comme dans les affaires de data brokers, la délégation par contrat ne décharge jamais le responsable de traitement de ses obligations, et de sa responsabilité finale.

Il convient pourtant de relever que, dans cette même affaire, le responsable de traitement n'a fait l'objet d'aucune procédure. La CNIL a choisi de poursuivre exclusivement le sous-traitant, sans engager la responsabilité de l'entité dont les données avaient été détournées, alors même que le contrat de sous-traitance prévoyait une obligation de suppression que la société avait, selon ses propres déclarations, cru respecter.

Cette sélectivité est difficile à concilier avec la doctrine exposée dans les affaires de data brokers, où c'est précisément le responsable de traitement qui porte la charge de la vérification. On ne voit pas de principe qui justifierait que cette charge s'allège lorsque c'est le sous-traitant, et non un fournisseur de données, qui fait défaut.

Les 486 millions d'euros d'amendes prononcés en 2025 ne doivent pas masquer la réalité de l'action répressive : 98 % de ce montant repose sur deux décisions visant des acteurs multinationaux, tandis que 67 sanctions simplifiées confidentielles ciblent TPE, PME et professions libérales.

La question du quantum reste entière. La méthode de calcul des amendes de la CNIL demeure peu transparente, et la décision du Conseil d'État du 4 mars 2026 a confirmé qu'aucune disposition n'impose à la Formation restreinte d'en expliciter les éléments chiffrés. Cette affirmation forte de la part d’une juridiction suprême saisie de recours en plein contentieux, laisse cependant perplexe. La Haute Juridiction se prive elle-même du pouvoir d’appréciation au cœur de sa mission, car si la CNIL n’a rien à justifier, le Conseil d’Etat n’a rien à contrôler.

Cette jurisprudence valide une pratique sans la résoudre : elle interdit aux conseils d'évaluer ex ante l'exposition financière de leurs clients avec une précision raisonnable, ce qui fragilise l'effectivité du droit de la défense autant qu'elle complique le conseil en gestion des risques.

Une décision absente des bilans habituels mérite une mention particulière. Par sa décision QPC n° 2025-1154 du 8 août 2025, le Conseil constitutionnel a déclaré contraire à la Constitution l'absence de notification du droit de se taire à la personne mise en cause devant la Formation restreinte, au motif que les amendes administratives prononcées constituent des sanctions ayant le caractère d'une punition au sens de l'article 9 de la Déclaration de 1789.

L'inconstitutionnalité est assortie d'un effet différé au 1er octobre 2026. Les sanctions prononcées avant la publication de la décision ne peuvent être contestées sur ce fondement - le Conseil d'État l'a confirmé dans l'affaire du 4 mars 2026 en écartant le moyen pour les faits antérieurs. Mais à compter de cette date, le législateur devra avoir adapté la procédure, sous peine de priver la Formation restreinte de sa base légale pour entendre les personnes mises en cause. Pour les responsables de traitement en cours de procédure depuis août 2025, la réforme rapproche les garanties devant la CNIL de celles reconnues en matière répressive. Son impact sur les stratégies de défense dans les procédures en cours reste à construire.