Le 9 février 2026, la CNIL a publié son bilan annuel des sanctions prononcées en 2025.
259 décisions ont été rendues par la CNIL en 2025, dont 83 sanctions et 486,8 millions d’euros d’amendes, soit près de neuf fois plus qu’en 2024. Cette explosion s’explique notamment par deux sanctions record liées aux cookies : Google (325 M€) et Shein (150 M€).
Sur les 83 sanctions prononcées en 2025, 67 l’ont été via la procédure simplifiée, mise en place pour traiter des dossiers sans complexité particulière. Ce recours traduit une volonté d’efficacité tout en maintenant une pression constante sur les acteurs qui négligent leurs obligations.
Les principaux sujets de sanctions sont les cookies, la sécurité des données et la surveillance des salariés.
Si les deux premiers sujets sont dans la lignée des bilans des années précédentes, la CNIL a indiqué qu’en 2025, la surveillance illégale ou disproportionnée des salariés est devenue l’un de ses principaux motifs d’intervention. Plus de 20% des sanctions ont ainsi été prononcées pour non-respect des règles applicables à la vidéosurveillance en entreprise, en particulier lorsqu’il s’agissait de dispositifs permettant une surveillance permanente des employés sans justification suffisante.
Les contrôles ont mis en lumière plusieurs dérives récurrentes :
- Caméras braquées en continu sur les postes de travail, y compris dans les bureaux ou ateliers où la surveillance constante n’est pas justifiée par la nature de l’activité.
- Absence ou insuffisance d’information délivrée aux employés et représentants du personnel.
- Absence d’analyse d’impact (AIPD) lorsque les dispositifs génèrent un risque élevé pour les droits et libertés.
- Conservation excessive des images, sans lien avec la finalité déclarée.
La CNIL rappelle qu’un dispositif de vidéosurveillance doit toujours répondre au principe fondamental de proportionnalité : surveiller ce qui est nécessaire, rien de plus.
Le communiqué publié le 9 février 2026 insiste sur ce point central : les règles sont connues et documentées depuis longtemps ; l’argument de l’ignorance n’est plus recevable.
Un conseil pour les directions RH, juridiques et DPO, en 2026 : il faut auditer, documenter et, si nécessaire, revoir complètement les dispositifs de vidéosurveillance existants. Se mettre en conformité n’est plus une démarche préventive : c’est une obligation urgente au regard de l’intensification des contrôles.
Notre équipe dédiée reste à votre disposition pour toute question sur le sujet.