Dans son bilan 2025 publié le 9 février 2026, la Commission nationale de l'informatique et des libertés (CNIL) revient sur les trois manquements les plus courants ayant donné lieu à une procédure de sanction simplifiée (amende d'un montant maximum de 20 000 euros) :
- la sécurisation insuffisante des données personnelles (14 organismes sanctionnés) ;
- la non réponse aux demandes de la CNIL (14 organismes) ;
- la non prise en compte de demandes d'effacement, d'opposition ou d'accès (14 décisions).
143 mises en demeure
Parmi les 143 organismes ou entreprises ayant fait l’objet des mises en demeure, le bilan évoque plus particulièrement :
- le secteur de l’aide sociale à l’enfance pour absence de politique rigoureuse de conservation de données concernant des mineurs ;
- des sites web pour le dépôt de cookies ou traceurs sans le consentement des personnes ;
- plusieurs applications mobiles et jeux en ligne n’ayant pas suffisamment renforcé le contrôle de l’âge pour s’assurer de la majorité des utilisateurs.
Près de 487 millions d'euros d'amendes
La Commission évoque également de fortes amendes à l'encontre de "deux acteurs majeurs" pour un montant de 325 et de 150 millions d'euros, considérant qu'ils avaient délibérément ignoré les règles applicables.
16 organismes ont été sanctionnés pour avoir contrevenu aux règles en matière de vidéosurveillance des salariés (installation de caméras dissimulées, surveillance en continu...).
Les manquements peuvent aussi concerner les sous-traitants, notamment lorsqu'ils ne respectent pas les obligations de protection des données personnelles (sécurisation, désignation d'un responsable de traitement, suppression des données à l'issue de la relation clientèle).
La CNIL signale également le travail réalisé en collaboration avec les organismes homologues européens dans le cadre du guichet unique prévu par le règlement européen sur la protection des données personnelles (quatre décisions de sanctions conjointes).
