87 sanctions en 2024. 486,8 millions d’euros d’amendes en 2025. La CNIL n’a jamais été aussi active. Mais ces chiffres, pris isolément, ne disent pas l’essentiel : ce qui compte pour vous en tant que dirigeant, ce n’est pas la statistique globale — c’est ce qu’une procédure CNIL change concrètement dans votre quotidien.
Ce que vous devez savoir pour prendre les bonnes décisions.
1. Les chiffres officiels des sanctions CNIL : bilan 2024 et 2025
Bilan 2024
En 2024, la CNIL a prononcé 87 sanctions pour un montant total de 55 212 400 euros (55,2 M€). C’est le double des 42 sanctions de 2023. Cette accélération est directement liée à la procédure simplifiée, mise en place en 2022, qui permet à la CNIL de traiter rapidement les dossiers, y compris ceux impliquant des petites structures.
Bilan 2025
En 2025, la CNIL a prononcé 83 sanctions pour un montant record de 486,8 millions d’euros. Ce chiffre est porté par deux sanctions majeures : 325 millions d’euros infligés à Google et 150 millions d’euros à Shein. Hors ces deux affaires, le niveau d’activité reste similaire à 2024.
La procédure simplifiée, elle, continue de traiter en régime de croisière les dossiers de petites et moyennes structures.
Mettez votre entreprise en conformité avant le prochain contrôle CNIL :
Créer mon registre RGPD — 149 EUR HT
2. Le profil des entreprises sanctionnées
Contrairement à une idée reçue, la CNIL ne concentre pas ses contrôles sur les seules grandes entreprises. La procédure simplifiée a précisément été créée pour traiter efficacement les dossiers de structures de taille modeste.
En 2024, les manquements les plus sanctionnés via la procédure simplifiée étaient :
Le défaut de coopération avec la CNIL (27 dossiers) : des organisations qui ne répondaient pas aux mises en demeure ou aux demandes de la CNIL.
Le non-respect des demandes de droits (23 dossiers) : des entreprises qui n’avaient pas répondu aux demandes d’effacement, d’opposition ou d’accès de leurs clients ou anciens salariés.
Les manquements à la sécurité des données.
La non-conformité des pratiques de cookies.
3. Ce qu’une procédure CNIL change concrètement pour un dirigeant
Les chiffres sont une chose. Voici ce qui se passe concrètement quand un contrôle CNIL concerne votre entreprise.
Phase 1 : La mise en demeure
Dans la majorité des cas, la CNIL commence par une mise en demeure. Elle vous notifie les manquements constatés et vous fixe un délai — généralement 1 à 3 mois — pour vous mettre en conformité. Pendant ce temps, vous devez mobiliser des ressources, faire appel à des conseils, et produire des documents de conformité.
Phase 2 : Le suivi et la pression
La CNIL vérifie ensuite que les mesures ont bien été prises. Si les manquements persistent, elle passe à la phase de sanction. Cette incertitude, cumulée aux délais, représente plusieurs mois de tension et de diversion de votre attention de dirigeant.
Phase 3 : L’amende et la publication
Si une amende est prononcée, elle est publiée sur le site de la CNIL. Pour les structures dont le nom est mentionné, c’est une publicité négative visible par tous vos clients, partenaires et prospects. Pour certains secteurs — professions libérales, prestataires B2B — cela peut directement se traduire par des pertes de contrats.
Les coûts cachés
Au-delà du montant de l’amende, une procédure CNIL génère des coûts indirects significatifs : honoraires d’avocat spécialisé (souvent entre 3 000 et 15 000 euros selon la complexité), temps passé par vous et vos équipes à rassembler les documents, et stress sur la durée.
Pour un dirigeant de TPE ou PME, le vrai risque d’une procédure CNIL n’est souvent pas l’amende elle-même — c’est le coût en temps, en énergie et en réputation.
4. Pourquoi les TPE et PME sont de plus en plus dans le viseur
Plusieurs raisons expliquent l’augmentation des dossiers impliquant des petites structures :
La procédure simplifiée a abaissé le coût de traitement d’un dossier pour la CNIL, ce qui lui permet d’instruire des plaintes visant des petites structures.
La sensibilisation des particuliers à leurs droits RGPD augmente : de plus en plus de personnes savent qu’elles peuvent porter plainte auprès de la CNIL et le font.
Les plaintes sont souvent déclenchées par des situations banales : un client qui ne parvient pas à se désabonner d’une newsletter, un ex-salarié qui demande la suppression de ses données et ne reçoit pas de réponse ou un prospect qui n’a pas consenti à recevoir des emails commerciaux.
5. Les 3 actions qui réduisent votre risque dès aujourd’hui
Vous n’avez pas besoin d’un service juridique dédié pour réduire significativement votre exposition. Trois actions concrètes suffisent pour la grande majorité des TPE et PME :
Tenir un registre des traitements à jour (art. 30 RGPD) : c’est le document central de votre conformité, le premier demandé en cas de contrôle.
Mettre en place un processus simple pour répondre aux demandes de droits : une adresse email dédiée (ex. donnees@votreentreprise.fr) et un délai de réponse d’un mois maximum.
Vérifier que vos formulaires de contact et de newsletter comportent bien les mentions légales RGPD requises.
Ces trois actions couvrent les manquements les plus fréquemment sanctionnés. Elles peuvent être mises en place en quelques heures.
RegistrePro RGPD vous fournit votre registre des traitements complet, structuré selon l’article 30, en 30 minutes :
Je me mets en conformité — 149 EUR HT
6. FAQ
La CNIL peut-elle contrôler mon entreprise si je n’ai pas eu de plainte ?
Oui. La CNIL effectue des contrôles programmés sur des thématiques ou secteurs prioritaires, indépendamment de toute plainte. En 2025, elle a notamment ciblé les cookies, la prospection commerciale et la sécurité des données.
Mon entreprise est très petite. Suis-je vraiment une cible ?
La procédure simplifiée permet à la CNIL de traiter rapidement des dossiers quelle que soit la taille de l’entreprise. Les 69 dossiers traités en procédure simplifiée en 2024 concernaient souvent des petites structures. Ce qui déclenche une procédure, c’est rarement la taille — c’est la plainte d’une personne qui n’a pas obtenu satisfaction.
Si je reçois un courrier de la CNIL, que dois-je faire ?
Ne pas l’ignorer. C’est l’erreur la plus fréquente — le défaut de coopération avec la CNIL est le premier motif de sanction en procédure simplifiée. Répondez dans les délais impartis. Si vous n’avez pas encore de registre des traitements ni de politique de confidentialité, mettez-les en place immédiatement.
Sources : CNIL, Bilan sanctions 2024 (cnil.fr) ; Vie-publique.fr (87 sanctions CNIL 2024) ; Franceinfo (record 487 M€ en 2025). Données officielles vérifiées en mars 2026.