Commission Nationale Informatique et Libertés

Les sanctions CNIL du 4ème trimestre 2025

2026-01-12 / Par

Datanaos vous propose ce résumé des sanctions les plus importantes de la CNIL durant le dernier trimestre de l’année 2025. 

Entre octobre et décembre 2025, ce sont plusieurs millions d’euros d’amende qui ont été prononcés par la Commission Nationale de l’Informatique et des Libertés. En cause notamment : des problématiques de sécurité, de la vidéosurveillance excessive et des cookies mal paramétrés. 

1. Nexpublica France – 1 700 000 €

Cette société française, spécialisée dans le développement de logiciels, développe un outil nommé PCRM. 

Il s’agit d’un outil de gestion de la relation entre les organismes intervenant dans le domaine de l’action sociale, et leurs usagers. Certaines MDPH (Maisons Départementales pour les Personnes Handicapées) sont notamment utilisatrices de cet outil. 

Fin novembre 2022, des clients de Nexpublica avaient procédé à des notifications de violation de données auprès de la CNIL, indiquant que certains de leurs usagers avaient pu accéder à des documents de tiers. 

La CNIL a décidé, suite à ces violations de données, de ne pas seulement contrôler les responsables de traitement, mais aussi leur sous-traitant (Nexpublica), responsable du développement et de la commercialisation de l’outil. 

Considérant que la société a fauté en mettant en oeuvre des mesures de sécurité insuffisantes, la CNIL a prononcé à l’encontre de Nexpublica une amende de 1 700 000 euros

2. Mobius Solutions LTD – 1 000 000 €

Toujours en novembre 2022, la CNIL avait été notifiée d’une violation de données par la très connue société DEEZER, mettant à disposition en ligne l’outil de streaming musical du même nom. 

Dans sa notification, la société mentionnait le rôle important qu’avait joué un de ses anciens sous-traitants, la société Mobius Solutions Limited, dans la violation de données constatée. 

La CNIL ayant contrôlé le sous-traitant Mobius Solutions LTD a retenu sa responsabilité dans cette affaire. Ce dernier a en effet :

  • conservé, après la fin de sa relation avec Deezer, des données des utilisateurs Deezer au lieu de les supprimer ; 
  • réutilisé en dehors de toute instruction du responsable de traitement, et sans fondement de licéité, les données des utilisateurs de Deezer ; 
  • réalisé des opérations de traitement de données sans tenir de registre des traitements, obligatoire. 

Pour des violations d’une telle envergure au Règlement Général sur la Protection des Données, la CNIL sanctionne Mobius Solutions LTD d’une amende de 1 million d’euros

A noter que dans ce cas comme dans le premier, ce sont des sous-traitants qui sont directement sanctionnés pour des violations de données dont la responsabilité leur incombe, mais dont la notification a été réalisée par le responsable du traitement (leur client). 

3. Cinq candidats aux élections européennes et législatives (2024) – 23 500 €

 Afin de mieux récolter les plaintes émanants de citoyens, concernant la prospection à caractère politique, la CNIL a créé, il y a quelques années, l’observatoire des élections, dont le bilan 2024 a été publié en juillet dernier. 

Alors que la CNIL à reçu 60% de signalements de plus qu’en 2022, signe que les citoyens hésitent de moins en moins à la contacter sur ces affaires, la CNIL a décidé de contrôler certaines pratiques constatées durant les élections 2024. 

Si la CNIL a décidé de ne pas publier directement l’identité des candidats concernés, ou les partis dont ils sont issus, elle note néanmoins qu’un parti a représenté, à lui tout seul, plus de la moitié des signalements reçus. 

En, cause : 

  • des messages, majoritairement SMS, envoyés à des citoyens sans que le candidat ou son mouvement ne se soit basé sur un fondement de licéité du traitement (le numéro de téléphone est, pour rappel, une donnée à caractère personnel) ; 
  • la réutilisation de données issues d’un traitement différent, pour des finalités non précisées ; 
  • le défaut d’information des personnes quant à l’usage qui sera fait de leurs données ; 
  • le non-respect des droits RGPD des personnes concernées, et notamment du droit d’opposition
  •  des défauts graves de confidentialité des données (e-mail envoyé à une centaine de destinataires en copie visible). 

 A noter que la CNIL ne publie pas ici une sanction, mais 5 sanctions, dont le montant total atteint 23 500 €. 

4. American Express – 1 500 000 €

La CNIL a décidé de contrôler, à partir de son site Internet et dans ses locaux, la société American Express Carte France, membre français du groupe étatsunien American Express, notamment chargé de distribuer en France les fameuses cartes bancaires. 

Après avoir constaté que les mesures prises pour respecter le consentement des utilisateurs du site American Express Carte France au dépôt des cookies n’étaient pas suffisants (dépôt de cookies sans consentement, refus de consentir non respecté, lecture de traceurs refusés en continu, …), la CNIL a décidé de sanctionner la société. 

A charge, la CNIL rappelle que les règles en matière de cookies et de consentement ont été largement diffusées depuis leur adoption (il y  quelques années de cela), et qu’en raison de sa taille, American Express Carte France ne pouvait méconnaître les règles applicables ni ne pouvaient avancer une quelconque difficulté technique ou organisationnelle à leur mise en place. Elle « limite » néanmoins la sanction prononcée, notament que la société s’est mise en conformité dès la découverte du problème, durant la procédure de contrôle. 

5. Les Publications Conde Nast – 750 000 €

Encore une affaire de cookies. En décembre 2019, la CNIL avait été saisie d’une plainte publique, déposée par l’association NOYB (None Of Your Business), concernant les cookies déposés par le site Vanityfair.fr sur le terminal des utilisateurs. 

Après plusieurs contrôles, la CNIL avait mis en demeure en 2021 la société éditrice du site, Les Publications Conde Nast, de repsecter les règles applicables en matière de cookies et de consentement. La procédure avait été close en juillet 2022 sans qu’une sanction pécuniaire ne soit prononcée. 

Mais une mise en demeure doit être respectée, et la CNIL peut contrôler à nouveau un organisme pour s’en assurer !

Par deux fois en 2023, puis en 2025, la CNIL a vérifié si le consentement des utilisateurs aux cookies était maintenant récolté, et si les mécanismes d’acceptation et de refus fonctionnaient. Cela n’était pas le cas. 

En raison de la précédente mise en demeure, ainsi que du délai qu’a eu l’organisme pour se mettre en conformité, sans toutefois y parvenir, la CNIL a décidé de le sanctionner à hauteur de 750 000 €

6. Vidéosurveillance – 16 sanctions – 108 000 €

A partir de mai 2025 et jusqu’à la fin de l’année, la CNIL a prononcé 16 sanctions dans le cadre d’une procédure simplifiée, pour un montant total de 108 000 €. 

Parmi les sanctions prononcées, plusieurs concernaient des mésusages de dispositifs de captation d’image (vidéosurveillance) : 

  • pharmacie et hôpital filmant l’accès et l’entrée d’un local syndical ; 
  • transmission des images vidéo à une compagnie d’assurance pour calculer des montants d’indemnisation ;
  • élèves d’un internat filmés dans le préau, et durant leur petit-déjeuner ; 
  • concernant certaines organismes (avocats, médecins, sociétés, …) : défaut de réponse à la CNIL lors de l’instruction des plaintes ou durant les contrôles. 

Avec une moyenne de 6 750 € d’amende par sanction, les risques peuvent sembler légers. Il convient cependant de rappeler que la CNIL tient compte, durant la détermination des montants des amendes, de la situation économique et financière des organismes, de la gravité des manquements, et des précédentes sanctions qui ont pu être déjà prononcées. 

    Vous avez des questions sur la sécurité au sein de votre organisme ou sa conformité ? Contactez-nous pour découvrir comment nous accompagnons entreprises et administrations dans leur démarche de conformité.