L’année 2026 marque un tournant dans la politique de contrôle de la CNIL. Avec une amende record de 42 millions d’euros infligée au groupe Free le 13 janvier dernier, l’autorité de contrôle française envoie un signal clair : la sécurité des données n’est plus une simple case à cocher, c’est une exigence de survie pour l’entreprise.
En tant que consultante DPO, je vous propose de décrypter ce que ces sanctions signifient réellement pour les entreprises et pourquoi les chiffres des gros titres cachent une réalité plus complexe.
1. La sécurité des données : La priorité absolue de la CNIL
Si les géants de la Tech sont souvent sous les projecteurs, la CNIL a diversifié ses cibles. En ce début d’année et avec le recul sur l’année 2025, nous pouvons observer une concentration sur trois thèmes majeurs :
- Le défaut de sécurité (Art. 32 du RGPD) : C’est le motif principal des sanctions contre Free, Nexpublica (1,7 M€) et Mobius (1 M€), . Pour la sanction envers le groupe Free, la CNIL relève que, au moment de l’attaque, certaines protections de base faisaient défaut. La procédure d’authentification pour l’accès aux VPN des deux sociétés, notamment utilisés dans le cadre du télétravail, n’était pas jugée suffisamment robuste. À cela s’ajoutait une capacité de détection des comportements anormaux qualifiée d’inefficace. Ce motif de défaut de sécurité avait déjà utilisé en 2023 envers une commune qui n’avait pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données personnelles de ses administrés. En effet, les mesures mises en œuvre pour assurer la sécurité des données étaient insuffisantes, les précautions minimales en matière de robustesse et de stockage des mots de passe n’étant pas respectées.
- L’usage abusif des cookies : American Express a été rappelé à l’ordre en décembre 2025 sur ce sujet.
https://www.cnil.fr/fr/cookies-la-cnil-sanctionne-american-express-dune-amende-de-15-million-deuros
- La prospection commerciale sans consentement : Un sujet qui reste une priorité pour la protection avec le rappel en mai 2025 de l’obligation de recueillir le consentement des personnes pour les opérations de prospection commerciale par voie électronique (sanction de 900K€ envers société SOLOCAL MARKETING SERVICES).
https://www.cnil.fr/fr/sanction-de-900-000-euros-societe-solocal-marketing-services
2. Face à la sanction : Quels sont les recours ?
Recevoir une notification de sanction de la Formation Restreinte de la CNIL est une épreuve, mais ce n’est pas une fin en soi. Le droit français prévoit des mécanismes de contestation solides :
- Le recours devant le Conseil d’État : La société sanctionnée dispose d’un délai de 2 mois à compter de la notification pour former un recours. Le Conseil d’État peut annuler la sanction ou en réduire le montant s’il la juge disproportionnée. Ainsi Amazon France a vu son amende se réduire de 32 à 15 millions d’euros après un arrêt du Conseil d’Etat le 23 décembre 2025.
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2025-12-23/492830
3. Montants annoncés vs Montants encaissés : Le mythe et la réalité
Il existe une confusion fréquente sur la destination des amendes.
- La CNIL ne touche pas l’argent : Les sommes sont versées au Trésor Public, et non au budget de l’autorité de contrôle.
https://www.cnil.fr/fr/cnil-direct/question/sanctions-ou-va-largent-lorsquune-sanction-pecuniaire-est-prononcee-par-la-cnil#:~:text=Sanctions %3A où va l’argent,les services du Trésor Public
2. L’écart d’encaissement : Entre les entreprises qui déposent le bilan, celles qui négocient des échelonnements et les réductions obtenues après recours, le montant « réellement » encaissé par l’État est souvent bien inférieur aux chiffres médiatisés.
4. Le paradoxe Irlandais : Des milliards de papier ?
Pour comprendre l’avenir de la régulation, il faut regarder vers l’Irlande. La DPC (Data Protection Commission), autorité de contrôle des sièges européens de Meta, Google ou TikTok, affiche des sanctions vertigineuses : plus de 3,5 milliards d’euros depuis 2018.
Pourtant, la réalité comptable est surprenante : à peine 0,6 % de ces montants (environ 19,9 millions d’euros) ont été effectivement perçus ces dernières années.
Pourquoi ? Car les GAFAM utilisent des recours juridiques qui durent des années.
L’analyse du DPO : Attention, ce « sursis » profite surtout aux géants. Pour une PME ou une ETI française, les recours sont coûteux et l’administration fiscale est bien plus rapide à recouvrir une amende de 50 000 € ou 100 000 €.