La Commission nationale de l’informatique et des libertés (CNIL) annonce près de 487 millions d’euros d’amendes en 2025, un niveau record dû à deux sanctions majeures visant Google et Shein pour des manquements liés aux cookies. L’autorité indique avoir prononcé 83 sanctions au total, très au-dessus du niveau d’amendes observé en 2024.
Le bond ne vient pas d’une multiplication des dossiers, mais d’un changement d’échelle sur les montants. En 2024, la CNIL comptait 87 sanctions, mais seulement 55,2 millions d’euros d’amendes sur l’année.
En 2025, deux décisions concentrent l’essentiel du total. La CNIL rattache explicitement ce niveau record à deux sanctions de septembre : 325 millions d’euros contre Google et 150 millions d’euros contre Shein, dans les deux cas pour non-respect des règles applicables aux cookies.
Ces cookies restent un nerf économique de la publicité en ligne et du modèle de nombreuses plateformes. La CNIL rappelle qu’elle renforce depuis plusieurs années ses contrôles sur ce sujet, ce qui explique que l’axe des cookies revienne aussi fortement dans son bilan.
Shein a déjà contesté déjà la sanction et a annoncé un recours devant le Conseil d’État et la Cour de justice de l’Union européenne. L’entreprise qualifie l’amende de « totalement disproportionnée ».
Cookies : la CNIL cible le consentement et le refus
Au-delà des deux amendes massives, la CNIL met en avant un ensemble de manquements récurrents dans ses décisions 2025. Elle indique avoir prononcé 21 sanctions liées à des pratiques de dépôt ou de gestion des cookies problématiques.
L’autorité cite notamment le dépôt sans le consentement, l’insuffisance d’information qui empêche un consentement éclairé, ainsi que l’absence de prise en compte effective du refus ou du retrait du consentement. Autrement dit, le cœur du sujet ne se limite pas au bandeau cookies, mais à l’exécution réelle des choix de l’utilisateur.
La CNIL insiste aussi sur les conséquences pour les internautes quand des données sont traitées sans qu’ils s’en rendent compte. Elle souligne en parallèle que les acteurs sanctionnés ne pouvaient pas ignorer les règles, en raison d’une communication répétée de l’autorité au fil des années.
Un procédure simplifiée avec 67 sanctions sur 83 et un plafond à 20 000 euros
Le bilan 2025 ne se résume pas aux cookies. La CNIL indique aussi avoir sanctionné 16 organismes pour non-respect des règles encadrant la vidéosurveillance des salariés.
Une large partie des décisions passe par un circuit spécifique. La CNIL précise que la procédure simplifiée, créée en 2022 pour des dossiers ne présentant pas de difficulté particulière, représente 67 des 83 sanctions prises en 2025, avec une amende plafonnée à 20 000 euros.
Dans ce cadre, l’autorité identifie trois motifs qui reviennent souvent : sécurisation insuffisante des données personnelles, absence de coopération avec la CNIL et non-respect des droits des personnes. Ces axes donnent une lecture très opérationnelle de ce qui déclenche des sanctions, indépendamment des dossiers les plus médiatisés.
2 commentaires pour cet article :