← Tous les articles

Veille reglementaire

Rapport CNIL 2025 : 487 M€ d'amendes, 1 violation sur 2 = piratage, ce qu'il faut retenir

Rapport annuel CNIL 2025 : 20 150 plaintes (record), 487 M€ d'amendes (dont Google 325 M€ et Shein 150 M€), 1 violation sur 2 résulte d'un piratage. Le vrai signal pour 2026 et 4 actions concrètes pour DPO et CISO.

Par Veille Luxgap 19/05/2026

La CNIL a publié son rapport annuel 2025 et le bilan détaillé de ses sanctions et mesures correctrices. Pour les DPO, CISO et dirigeants luxembourgeois ou frontaliers, c'est une lecture obligatoire : la CNPD luxembourgeoise et l'APD belge alignent leurs priorités sur celles de la CNIL, et la moitié des entreprises de la Place opèrent aussi en France via filiales ou frontaliers. Voici ce que nous avons retenu et, surtout, le signal le plus important à intégrer dans la feuille de route 2026.

Les chiffres bruts : un saut historique

Trois indicateurs explosent en 2025, comparés aux années précédentes :

  • 20 150 plaintes reçues, soit +10 % par rapport à 2024. Record absolu depuis la création de la CNIL. Les particuliers connaissent leurs droits et les exercent.
  • 6 167 violations de données notifiées à la CNIL. Et surtout, une violation sur deux résulte d'un piratage. La cybersécurité n'est plus un sujet IT marginal, c'est devenu le terrain principal du RGPD.
  • 487 millions d'euros d'amendes prononcées sur 2025. Le montant a explosé.

Sur les 323 contrôles menés et 259 décisions rendues, la CNIL a prononcé 83 sanctions (dont 78 amendes financières), 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. La sanction n'est plus l'exception, c'est devenu la règle quand le contrôle révèle un manquement.

Les amendes phares : cookies et marketing en tête

Deux décisions concentrent à elles seules la moitié du montant total des amendes 2025 :

  • Google : 325 millions d'euros pour non-respect des règles sur les cookies et le consentement.
  • Shein : 150 millions d'euros sur les mêmes sujets cookies et consentement.

Le signal est clair : la CNIL ne traite plus les cookies comme un sujet technique de second plan. Les bannières non conformes (boutons « tout accepter » plus visibles que « tout refuser », pré-coché par défaut, retrait du consentement plus difficile que le donner) sont désormais sanctionnées à hauteur des plus gros enjeux RGPD historiques.

Vidéosurveillance des salariés : 16 sanctions cette année

Deuxième thème : 16 organismes sanctionnés pour non-respect des règles applicables à la vidéosurveillance des salariés en 2025. Les manquements typiques que la CNIL relève : caméras filmant en continu les postes de travail, défaut d'information préalable des salariés et de leurs représentants, conservation des images trop longue (au-delà de 30 jours), absence d'analyse d'impact (AIPD) alors que la vidéosurveillance des salariés en relève systématiquement.

Pour les entreprises luxembourgeoises et frontalières opérant en France, le sujet est doublement sensible : la CNPD luxembourgeoise applique des règles similaires (autorisation préalable pour certains cas, information ITM via le règlement intérieur), et la CNIL contrôle activement les filiales françaises de groupes étrangers.

Sécurité des données : 14 organismes sanctionnés et une priorité 2026

Quatorze organismes ont été sanctionnés en 2025 pour manquements à la sécurité des données personnelles (article 32 RGPD). Mais le vrai signal n'est pas dans le chiffre 2025, il est dans la déclaration de priorité 2026 de la CNIL : « la moitié des contrôles et des actions répressives sera consacrée à la sécurité des données ».

Traduction opérationnelle : si vos politiques de mots de passe ne sont pas conformes ANSSI, si vous n'avez pas de MFA sur les accès admin, si vos sauvegardes ne sont jamais restaurées en test, si vos données sensibles ne sont pas chiffrées au repos, si votre EDR est en mode signature uniquement, vous êtes statistiquement exposé à un contrôle CNIL en 2026. Et si vous êtes contrôlé sur la sécurité, l'audit est facile à fait — les défauts sautent aux yeux d'un inspecteur technique.

L'IA : la CNIL entre en scène comme autorité AI Act

L'autre signal majeur du rapport 2025, c'est le positionnement de la CNIL sur l'intelligence artificielle :

  • Autorité de contrôle déjà désignée sur les usages interdits de l'AI Act (article 5 du règlement 2024/1689) : notation sociale, manipulation comportementale, identification biométrique en temps réel dans les espaces publics.
  • Future autorité de surveillance du marché pour les systèmes d'IA à haut risque (annexe III) dans plusieurs domaines : biométrie, migration et asile, contrôle des frontières, emploi, éducation, services publics essentiels.
  • Publication en 2025 d'une série de ressources pour concepteurs et développeurs d'IA, désormais traduites en anglais, qui servent de référentiel européen de facto.

Pour les entreprises qui ont déployé Claude, ChatGPT ou Copilot sans inventaire formel, sans classification de risque AI Act, sans charte d'usage interne : le compte à rebours réglementaire est lancé. L'AI Act s'applique progressivement jusqu'en 2027, mais la CNIL contrôle déjà les usages interdits depuis 2025.

Mais alors, quel est le signal le plus important ?

Notre lecture, après avoir analysé le rapport intégralement et croisé avec ce que nous observons sur nos 200+ mandats DPO externes : le signal le plus important n'est pas dans les amendes Google ou Shein, ni même dans la priorité sécurité 2026. C'est dans le chiffre des piratages.

Une violation de données sur deux résulte désormais d'un piratage. Ce chiffre dit beaucoup :

  • Les attaquants externes ne sont plus marginaux. La majorité des fuites n'est plus due à un email mal envoyé ou un fichier perdu. C'est un attaquant qui a pénétré activement.
  • La frontière RGPD / cybersécurité a disparu. Notifier une violation à la CNPD sous 72h, c'est aussi notifier un incident cyber à l'ILR sous NIS 2 dans les mêmes délais. Les deux sujets se traitent ensemble.
  • La CNIL et ses homologues européennes vont contrôler les mesures techniques beaucoup plus qu'avant. Une politique de sécurité bien écrite mais non appliquée sera repérée en 30 minutes par un contrôleur technique.

Conséquence pratique pour 2026 : vous ne pouvez plus séparer le DPO du CISO. La fonction de protection des données et la fonction de cybersécurité doivent partager les mêmes outils, les mêmes plans d'action, les mêmes registres et les mêmes scénarios d'incident testés. C'est exactement la logique de notre plateforme DPO Assist : un seul outil pour les tickets RGPD, les violations 72h, la qualification de gravité grille ENISA/CNIL, et le suivi des sous-traitants critiques.

Ce qu'on conseille concrètement aux organisations luxembourgeoises

Quatre actions à enclencher avant la fin du premier trimestre 2026 :

  1. Audit cookies et marketing. Vérifier que vos bannières respectent les lignes directrices CNIL/EDPB : « refuser tout » aussi accessible que « accepter tout », pas de pré-cochage, pas de dark patterns. Les amendes Google et Shein montrent qu'aucune organisation n'est trop grande pour échapper au contrôle.
  2. Audit sécurité technique côté article 32 RGPD. MFA partout, chiffrement au repos, EDR comportemental, sauvegardes 3-2-1 testées, MITRE ATT&CK comme référentiel de détection. Notre article sur l'audit NIS 2 détaille les critères de qualité.
  3. Inventaire IA et conformité AI Act. Lister tous les systèmes d'IA utilisés (officiellement ou non par les équipes), les classer par risque selon l'annexe III, formaliser une charte d'usage interne, planifier les mises en conformité. Voir notre page IA conformité.
  4. Tester la chaîne d'alerte violation 72h. Simuler un scénario réel (envoi accidentel de fichier client, intrusion ransomware, vol de portable) avec votre équipe et chronométrer la chaîne décisionnelle jusqu'au formulaire CNPD/CNIL pré-rempli. Les défauts ressortent en 1 heure.

Conclusion : 2026 sera l'année de la sécurité technique

Le rapport CNIL 2025 dessine sans ambiguïté la trajectoire 2026. Les amendes records sur les cookies montrent que la conformité formelle continue d'être traquée, mais c'est la sécurité technique qui devient le terrain principal du RGPD, parce que c'est par là que passent désormais la moitié des fuites. La frontière entre RGPD et cybersécurité disparaît. Vos politiques de protection des données et de cybersécurité doivent fusionner.

Si vous voulez en discuter sur votre cas concret, notre équipe DPO externe et CISO externe travaille ces sujets ensemble depuis 2018, avec une vue partagée des outils, des registres et des incidents. Contactez-nous ou demandez un devis personnalisé sous 24 heures.

Sources officielles

cnil rgpd sanctions cybersecurite ai-act bilan-2025 luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →