RGPD 2026 : 487M€ d'amendes CNIL en 2025, l'AI Act arrive en août

487 millions d'euros d'amendes en 2025

La CNIL a prononcé 83 sanctions en 2025 pour un montant cumulé d'environ 487 millions d'euros, un record historique.

Les deux plus grosses amendes CNIL en 2025 :

• Google : 325 millions d'euros (septembre 2025, cookies)
• SHEIN : 150 millions d'euros (septembre 2025, cookies)

Ces deux sanctions représentent à elles seules 475 millions sur les 487 millions du total CNIL. Les 12 millions restants se répartissent sur 81 autres procédures : PME, collectivités, associations. 21 sanctions concernaient les cookies et 16 la vidéosurveillance des salariés.

En comparaison, la CNIL n'avait sanctionné que 55.2 millions d'euros en 2024 (87 décisions). L'année 2025 représente donc un bond de x8.8 en montant.

Les sanctions RGPD en Europe

Au-delà de la CNIL, les régulateurs européens ont été tout aussi actifs :

• TikTok : 530 millions d'euros par la DPC irlandaise (mai 2025) pour transferts de données d'utilisateurs européens vers la Chine sans garanties suffisantes
• Meta : sanctionné à plusieurs reprises par la DPC (251M€ en 2022 pour une fuite de données, 91M€ en 2024 pour stockage de mots de passe en clair)

Le total cumulé des amendes RGPD en Europe dépasse désormais les 6 milliards d'euros depuis l'entrée en vigueur du règlement en 2018, dont 1.15 milliard rien qu'en 2025

Premières sanctions 2026

Dès janvier 2026, la CNIL a frappé fort :

Free Mobile + Free (13 janvier 2026) : 42 millions d'euros

En octobre 2024, un attaquant a infiltré le système d'information de Free et accédé aux données personnelles de 24 millions de contrats d'abonnés, dont les IBAN. La CNIL a constaté que Free n'avait pas mis en place des mesures de sécurité basiques qui auraient rendu l'attaque plus difficile : Free Mobile écope de 27M€ et Free de 15M€.

France Travail (22 janvier 2026) : 5 millions d'euros

Début 2024, des attaquants ont utilisé des techniques d'ingénierie sociale pour usurper des comptes de conseillers CAP EMPLOI et infiltrer le système de France Travail. Résultat : les données de 43 millions de demandeurs d'emploi exposées (nom, prénom, numéro de sécurité sociale, identifiants). La CNIL a jugé les mesures de sécurité insuffisantes pour un organisme traitant des données aussi sensibles à cette échelle

La CNIL régule l'AI Act

Depuis août 2025, la CNIL est officiellement l'autorité de régulation de l'AI Act en France (désignée par l'article 70 du règlement européen). Le calendrier est progressif :

• Février 2025 : interdiction des pratiques IA jugées inacceptables (scoring social, manipulation subliminale, police prédictive individuelle)
• Août 2025 : entrée en vigueur des obligations pour les modèles de fondation (GPT, Claude, Mistral, etc.)
• 2 août 2026 : obligations complètes pour les systèmes IA à haut risque (Annexe III)

Les sanctions AI Act sont à trois niveaux : jusqu'à 35M€ ou 7% du CA mondial pour les pratiques interdites, 15M€ ou 3% pour les autres violations, et 7.5M€ ou 1.5% pour les informations fausses. Pour les PME et startups, les sanctions sont calculées proportionnellement.

La CNIL cible particulièrement les usages IA en entreprise :

• Tri de CV par IA : considéré à haut risque, nécessite une évaluation de conformité, un registre de décisions, et un droit d'explication pour les candidats
• Scoring client : profilage automatisé soumis à l'article 22 du RGPD (droit de contester la décision)
• Surveillance des employés : les outils de monitoring IA (productivité, émotions) sont sous haute surveillance
• Chatbots et IA générative : obligation de transparence (l'utilisateur doit savoir qu'il interagit avec une IA)

Sujets prioritaires CNIL 2026

Les trois axes de contrôle prioritaires :

• Cookies : conformité des bannières, dark patterns, Consent Mode v2

• Surveillance des employés : outils de monitoring, vidéosurveillance, IA RH

• Sécurité des données (Article 32) : chiffrement, accès, sauvegardes

Ce que ça signifie pour votre entreprise

La conformité n'est plus optionnelle, et les sanctions ne touchent plus seulement les GAFAM. Free est un opérateur français, France Travail un établissement public. Si des structures de cette taille se font sanctionner, les PME avec des pratiques approximatives sont également exposées.

Les erreurs les plus fréquentes constatées par la CNIL :

• Bannière cookies non conforme : bouton « Accepter » en couleur, lien « Refuser » en gris petit. Un tribunal autrichien a déjà jugé que c'est une violation du RGPD
• Pas de politique de confidentialité ou politique copiée/collée d'un autre site
• Formulaires non sécurisés : pas de HTTPS, pas de limitation de tentatives, données stockées en clair
• Conservation illimitée : garder les données clients « au cas où » sans durée définie
• Pas de registre de traitements : obligatoire dès qu'on collecte des données personnelles

Checklist conformité 2026

Chez Mita Studio, chaque site inclut :

• Bannière cookies conforme : refus aussi facile qu'acceptation, pas de dark patterns, consent mode v2 configuré

• Politique de confidentialité : claire, à jour, accessible, avec mentions légales complètes

• Sécurité technique : HTTPS, headers sécurisés (CSP, X-Frame-Options), formulaires protégés (rate limiting, CSRF)

• Durées de conservation : définies pour chaque type de donnée, suppression automatique

• Registre de traitements : document structuré listant chaque traitement de données

• Audit cybersécurité : recommandé pour les sites traitant des données sensibles (santé, finance, RH)

L'accessibilité (EAA) et le RGPD sont les deux piliers de la conformité web en 2026. Avec l'arrivée de l'AI Act en août, les entreprises utilisant l'IA devront ajouter une troisième couche de conformité. Mieux vaut anticiper dès maintenant.