La Commission Nationale de l'Informatique et des Libertés (CNIL) annonce près de 487 millions d'euros d'amende en 2025, un niveau record en raison de deux sanctions majeures visant Google et Shein pour des manquements liés aux cookies. L'autorité indique avoir prononcé 83 sanctions au total, bien au-dessus du niveau d'amendes observé en 2024.
Le bond ne vient pas d'une multiplication des dossiers, mais d'un changement dans l'échelle des montants. En 2024, la CNIL a eu 87 sanctions, mais seulement 55,2 millions d'euros d'amendes sur l'année.
En 2025, deux décisions concentrent l’essentiel du total. La CNIL relie explicitement ce niveau record à deux sanctions de septembre : 325 millions d'euros contre Google et 150 millions d'euros contre Shein, dans les deux cas pour non-respect des règles applicables aux cookies.
Ces cookies restent un nerf économique de la publicité en ligne et le modèle de nombreuses plateformes. La CNIL souligne qu'elle renforce ses contrôles à ce sujet depuis plusieurs années, ce qui explique pourquoi la question des cookies revient avec autant de force dans son évaluation.
Shein a déjà contesté la sanction et annoncé un recours devant le Conseil d'État et la Cour de justice de l'Union européenne. L'entreprise décrit l'amende comme « totalement disproportionné ».
Cookies : la CNIL cible le consentement et le refus
Au-delà des deux amendes massives, la CNIL met en avant un ensemble de manquements récurrents dans ses décisions de 2025. Elle indique avoir imposé 21 sanctions liées à des pratiques problématiques de stockage ou de gestion des cookies.
L'autorité cite notamment le dépôt sans consentement, l'insuffisance d'information qui empêche le consentement éclairé, ainsi que l'absence d'examen effectif du refus ou du retrait du consentement. En d’autres termes, le cœur du problème ne se limite pas au bandeau des cookies, mais à l’exécution même des choix de l’utilisateur.
La CNIL souligne également les conséquences pour les internautes lorsque des données sont traitées à leur insu. Dans le même temps, elle souligne que les acteurs sanctionnés ne pouvaient ignorer les règles, en raison des communications répétées de l'autorité au fil des années.
Une procédure simplifiée avec 67 sanctions sur 83 et un plafond à 20 000 euros
Le bilan 2025 ne concerne pas uniquement les cookies. La CNIL indique également avoir sanctionné 16 organisations pour non-respect des règles encadrant la vidéosurveillance des salariés.
Une grande partie des décisions passent par un circuit spécifique. La CNIL précise que la procédure simplifiée, créée en 2022 pour les dossiers ne présentant pas de difficulté particulière, représente 67 des 83 sanctions prises en 2025, avec une amende plafonnée à 20 000 euros.
Dans ce contexte, l'autorité identifie trois raisons souvent récurrentes : une sécurité insuffisante des données personnelles, le manque de coopération avec la CNIL et le non-respect des droits des personnes. Ces axes donnent une lecture très opérationnelle de ce qui déclenche les sanctions, indépendamment des cas les plus médiatisés.
