Huit ans après l’entrée en application du RGPD, le bilan des sanctions publié par la CNIL pour l’année 2025 ne surprend plus par son existence. Il surprend davantage par ce qu’il révèle, en creux, du niveau réel de maturité des organisations. Les décisions rendues ne viennent plus rappeler des principes généraux ou des obligations mal comprises. Elles sanctionnent des manquements connus, identifiés, parfois documentés, mais insuffisamment pilotés dans la durée.
Ce glissement est significatif. Le RGPD n’est plus un cadre en phase d’appropriation. Il est désormais pleinement installé. Les sanctions de 2025 ne traduisent pas un durcissement soudain de l’autorité de contrôle, mais une normalisation du contrôle et de la sanction face à des défaillances persistantes.
« Le RGPD n’est plus un texte à comprendre, mais un dispositif à faire vivre. »
Un élément mérite toutefois d’être souligné : le montant cumulé des sanctions sur les exercices 2024 et 2025 connaît une progression notable. Cette hausse est en grande partie portée par quelques décisions emblématiques visant des acteurs de premier plan, notamment Google et Shein. Cette concentration des montants ne doit cependant pas masquer l’essentiel. Elle traduit moins une inflation généralisée des sanctions qu’une capacité désormais assumée du régulateur à intervenir sur des organisations de grande taille, pour des manquements structurels et durables.
« Autrement dit, le signal n’est pas financier. Il est organisationnel. »
Les décisions prononcées en 2025 montrent que les manquements sanctionnés relèvent rarement d’une ignorance totale des obligations. Il s’agit bien plus souvent d’un défaut de mise en œuvre effective, d’un manque de suivi ou d’un affaiblissement progressif des mesures initialement mises en place. La conformité existe, mais elle ne tient pas dans le temps.
Cette réalité est particulièrement visible sur des sujets pourtant centraux : la sécurité des données, la gestion des accès, les durées de conservation ou encore l’encadrement des sous-traitants. Ces thématiques ne sont ni nouvelles ni complexes à identifier. Elles sont connues, documentées, parfois intégrées dans des politiques internes. Pourtant, elles continuent de générer des sanctions.
« Ce qui est sanctionné n’est pas l’absence de règles, mais l’absence de pilotage. »
La sécurité des données personnelles reste un point de fragilité récurrent. Les sanctions montrent que des mesures élémentaires font encore défaut dans certains environnements : contrôles d’accès insuffisants, mots de passe faibles, absence de journalisation exploitable, segmentation inexistante ou protection inadaptée des données sensibles. Ces faiblesses ne relèvent pas d’un retard technologique, mais d’une gouvernance incomplète de la sécurité.
Dans de nombreux cas, les dispositifs existent, mais ils ne sont ni évalués régulièrement ni ajustés à l’évolution du système d’information. La sécurité est pensée comme un état atteint à un instant donné, non comme un processus continu. Cette approche statique se heurte frontalement à la dynamique des environnements numériques actuels.
La gestion des accès constitue un autre point d’attention majeur. Les sanctions mettent en évidence des droits excessifs, des comptes actifs non justifiés, des accès conservés après un changement de fonction ou un départ. Là encore, les mécanismes sont connus, mais leur maintien dans le temps fait défaut. L’absence de revue périodique des accès traduit souvent une gouvernance fragmentée entre les équipes IT, les métiers et les fonctions conformité.
Ce type de défaillance illustre un décalage persistant entre les principes affichés — minimisation, limitation, responsabilité — et leur déclinaison opérationnelle. La conformité RGPD ne se limite pas à la rédaction de procédures ; elle suppose une capacité à contrôler et à ajuster les pratiques réelles.
« La conformité ne se décrète pas, elle se maintient. »
Les durées de conservation figurent également parmi les motifs récurrents de sanction. La difficulté n’est pas tant de définir des règles que de les appliquer effectivement. Données conservées sans justification, mécanismes de purge inexistants ou inopérants, absence de suivi des bases actives : ces situations révèlent une perte de maîtrise progressive des données stockées.
Cette accumulation silencieuse est souvent le résultat d’un empilement de projets, de migrations successives ou d’évolutions applicatives non accompagnées d’une mise à jour des règles de gestion. Le RGPD impose pourtant une logique simple : ce qui n’est plus nécessaire doit disparaître. En pratique, cette exigence se heurte à des systèmes d’information peu cartographiés et insuffisamment gouvernés.
Le bilan 2025 met également en lumière la responsabilité des organisations dans la relation avec leurs sous-traitants. Les sanctions rappellent que la délégation d’un traitement ne constitue jamais une délégation de responsabilité. Clauses contractuelles insuffisantes, absence de contrôle effectif, dépendance excessive à des prestataires techniques : autant de situations qui exposent les responsables de traitement à des sanctions directes.
Cette problématique s’inscrit dans un contexte plus large de complexification des chaînes de traitement, notamment avec le recours accru à des services cloud et à des plateformes SaaS. La conformité ne peut plus être envisagée sans une vision claire de ces dépendances et de leurs implications en matière de protection des données.
« Externaliser un traitement n’externalise jamais le risque. »
Les premiers signaux de l’année 2026 confirment cette dynamique. La sanction récente visant France Travail rappelle que les exigences du RGPD ne concernent pas uniquement les acteurs privés ou les plateformes internationales. Les organismes publics, eux aussi, sont soumis à des attentes élevées en matière de gouvernance des données, de sécurité et de maîtrise des traitements.
Cette continuité souligne que la question n’est plus celle d’un durcissement ponctuel, mais bien celle d’un cadre de contrôle désormais stabilisé, appelé à s’inscrire dans la durée.
En définitive, le bilan des sanctions CNIL 2025 ne traduit pas une politique répressive nouvelle. Il met en lumière une réalité désormais bien installée : la conformité RGPD est un processus continu, exposé dès lors qu’il n’est pas piloté dans le temps.
À ce stade de maturité réglementaire, la protection des données ne peut plus être traitée comme un chantier ponctuel ou un sujet périphérique. Elle doit être intégrée dans la gouvernance globale du système d’information, avec des mécanismes de suivi, de contrôle et d’ajustement continus. C’est à cette condition que la conformité cesse d’être une contrainte subie pour devenir un élément structurant et maîtrisé.
