487 millions d'euros d'amendes CNIL en 2025 : anatomie d'un record
×9 en un an. Record absolu de la CNIL, PME dans le viseur, NIS2 et DORA en embuscade : décryptage du risque réglementaire.
487 millions d'euros : le chiffre qui change tout
L'année 2025 restera dans les annales de la protection des données en France. La CNIL a prononcé 487 millions d'euros d'amendes, un record historique, en hausse de ×9 par rapport à 2024.
Ce chiffre n'est pas un accident. Il reflète une stratégie délibérée de la CNIL : frapper fort pour créer un effet dissuasif. Les contrôles ont augmenté de 35%, et les PME sont désormais dans le viseur.
Les sanctions marquantes de 2025
| Entreprise | Montant | Motif |
|---|---|---|
| Grand groupe retail | 150 M€ | Transferts hors UE sans garanties |
| Éditeur SaaS | 45 M€ | Absence de chiffrement des données de santé |
| Plateforme e-commerce | 32 M€ | Fuite de données, mesures insuffisantes |
PME : vous êtes dans le viseur
La CNIL a clairement annoncé que les PME ne bénéficient plus d'une "tolérance de principe". En 2025, 23% des sanctions ont visé des entreprises de moins de 250 salariés.
Les motifs les plus fréquents :
- Absence de chiffrement des données sensibles
- Transferts de données vers des services soumis au CLOUD Act
- Durées de conservation non respectées
- Absence de DPO ou DPO non opérationnel
NIS2 et DORA : la double peine qui arrive
Au-delà du RGPD, deux réglementations alourdissent encore le risque :
NIS2 (en vigueur depuis janvier 2025)
- Concerne 15 000 entités en France
- Impose le chiffrement comme mesure de sécurité (Art. 21)
- Amendes jusqu'à 10 millions d'euros ou 2% du CA
DORA (applicable depuis janvier 2025)
- Concerne les acteurs financiers (banques, assurances, fintech)
- Exige un registre des prestataires ICT tiers
- Tests de résilience obligatoires
Comment se protéger dès maintenant
- Chiffrez vos données sensibles : c'est la première mesure que la CNIL vérifie
- Documentez votre conformité : attestations, politiques, logs d'audit
- Utilisez un hébergeur souverain : hors CLOUD Act
- Générez vos attestations RGPD Art. 32 : avec MAFATE, c'est en un clic
Articles connexes
Chiffrer ses données en 2026 : le guide de survie pour PME et ETI françaises
63% des PME n'ont pas l'expertise pour chiffrer, mais les amendes CNIL atteignent des records. Guide pratique : AES-256, envelope encryption, souveraineté et conformité NIS2.
ConformitéNIS2 en France : le guide définitif pour les PME et ETI en 2026
15 000 entités concernées, ReCyF publié, Loi Résilience bloquée par un article sur le chiffrement. État des lieux complet et feuille de route.