Un cap franchi dans la répression des manquements au RGPD
Le virage est désormais net. Après plusieurs années centrées sur les très grands acteurs du numérique, la régulation des données personnelles change d’échelle en France. En 2025, la CNIL a prononcé un total de 487 millions d’euros d’amendes, un niveau inédit. Et le début de 2026 confirme ce rythme, avec des sanctions déjà notables contre Free Mobile (42 millions) et France Travail (5 millions).
Cette montée en intensité s’inscrit dans un contexte européen lui aussi plus offensif : les autorités de protection des données sur le continent ont infligé en 2025 plus de 330 amendes pour un cumul d’environ 1,15 milliard d’euros. Si les géants mondiaux continuent d’écoper des montants les plus spectaculaires, l’enjeu se déplace désormais vers l’ensemble du tissu économique.
Des grands groupes aux PME : l’élargissement de la cible
Le signal envoyé au marché est sans ambiguïté : les PME ne sont plus en marge du radar. Le gendarme français des données a doublé le nombre de ses sanctions en 2025 par rapport à 2024 (bilan Provigis), et une part croissante ne vise plus seulement les plateformes internationales, mais aussi des e-commerçants, éditeurs de logiciels et entreprises de taille intermédiaire. Cette inflexion accroît l’exposition des directions générales et DSI de sociétés qui se pensaient moins concernées jusqu’ici.
Les cas emblématiques restent nombreux chez les poids lourds : Google (325 millions) pour des pratiques publicitaires et de cookies sans consentement, Shein (150 millions) et TikTok (530 millions). Mais la granularité des contrôles s’affirme : une entreprise non identifiée a été frappée de 3,5 millions d’euros fin 2025 pour avoir transmis à un réseau social les données issues d’un programme de fidélité sans base légale valide, une pratique jugée particulièrement sensible dans le commerce de détail.
Sanctions récentes : un panorama des montants
| Organisation | Motif évoqué | Montant | Période |
|---|---|---|---|
| CNIL (total France) | Ensemble des décisions | 487 M€ | 2025 |
| Free Mobile | Violation massive de données | 42 M€ | 2026 |
| France Travail | Défaillances de sécurité (43 M d’inscrits) | 5 M€ | 2026 |
| Publicités/Cookies sans consentement | 325 M€ | 2025 | |
| Shein | Cookies et transferts de données | 150 M€ | 2025 |
| TikTok | Sanctions RGPD | 530 M€ | 2025 |
| Entreprise non nommée | Partage illégal de données de fidélité | 3,5 M€ | 2025 |
Conséquences pour les entreprises françaises
La dynamique actuelle oblige à reconsidérer le risque de non-conformité comme un risque d’exploitation majeur, au même titre que la cybersécurité ou la fraude. Les éléments saillants ressortent clairement :
- Le coût financier d’un manquement peut devenir significatif, même pour des acteurs de taille moyenne.
- Les pratiques marketing et publicitaires fondées sur les données (cookies, e-mailing, profils de fidélité) constituent un terrain de contrôle prioritaire.
- La sécurité des systèmes et la protection des bases volumineuses d’utilisateurs apparaissent comme des failles récurrentes.
Pour les directions générales, l’enjeu dépasse la simple mise en conformité documentaire : il implique des arbitrages concrets sur les parcours clients, les paramétrages des outils analytics, la gestion des partenaires technologiques et l’encadrement des transferts internationaux de données. Les sanctions récentes dans le commerce de détail illustrent à quel point la base légale et l’information des personnes sont déterminantes pour tout partage de données avec des tiers, notamment les réseaux sociaux.
Un calendrier d’application qui s’accélère
Les données disponibles montrent qu’en un an la pression s’est accrue à la fois en volume (plus de 330 amendes en Europe) et en valeur (plus de 1,15 Md€). En France, l’Autorité a franchi un palier en 2025 et a maintenu le cap au premier semestre 2026 avec des décisions à fort impact public. Le message adressé au marché est clair : la tolérance est faible lorsque les fondements du RGPD (consentement, sécurité, base légale) ne sont pas respectés.
Ce que cela signifie pour les salariés et les clients
Pour les salariés, la montée des exigences RGPD renforce le besoin de compétences en protection des données au sein des équipes IT, marketing et relation client. Pour les consommateurs et usagers, la tendance soutient une meilleure maîtrise de leurs informations personnelles. L’effet recherché par le régulateur est autant dissuasif que pédagogique : renforcer les standards tout en amenant les organisations, grandes et petites, à intégrer la conformité dans leurs processus quotidiens.