Aller au contenu principal
EN
← Retour au blog
RGPDCNILconformitétracking

CNIL : les amendes 2025-2026 et ce qu'elles signifient pour votre tracking

Avec 487 millions d'euros d'amendes en 2025, la CNIL intensifie ses contrôles. Découvrez les sanctions RGPD récentes et comment protéger votre tracking.

Greg-Jordan Metoui
Greg-Jordan Metoui
Fondateur & Expert Data · 11 mai 2026 · 6 min de lecture

487 millions d’euros : la CNIL n’a jamais frappé aussi fort

L’année 2025 a marqué un tournant dans l’histoire de la régulation des données en France. Avec 487 millions d’euros de sanctions prononcées, la CNIL a multiplié par 9 le montant total des amendes par rapport à 2024 (environ 55 millions d’euros). Ce n’est plus un signal faible : c’est un changement de paradigme.

Et contrairement à ce que beaucoup pensent, les PME ne sont pas épargnées. 32 % des entreprises contrôlées en 2025 étaient des PME, preuve que la CNIL ne cible plus uniquement les géants du numérique.

Chronologie des sanctions majeures 2025-2026

DateEntrepriseMontantMotif principal
Fév. 2025Free42 M EURViolations multiples : conservation excessive, sécurité insuffisante
Mars 2025Société e-commerce (anonymisée)3,2 M EURCookies déposés avant consentement
Avr. 2025Réseau d’agences1,8 M EURTransferts de données hors UE non encadrés
Juin 2025Éditeur SaaS5,5 M EURTraceurs non déclarés, absence de DPO
Sept. 2025Groupe média12 M EURProfilage sans base légale
Nov. 2025Marketplace8,7 M EURCollecte excessive de données utilisateurs
Janv. 2026Chaîne retail2,1 M EURCMP non conforme, dark patterns
Mars 2026Fintech6,3 M EURDonnées bancaires transmises à des tiers sans consentement

Le cas Free : 42 millions d’euros

La sanction contre Free est emblématique. L’opérateur a été sanctionné pour :

  • Conservation de données au-delà des durées légales (coordonnées bancaires de clients résiliés)
  • Sécurité insuffisante des données personnelles
  • Manquements aux droits des personnes (délais de réponse excessifs aux demandes d’accès)

Ce cas illustre que la CNIL ne se limite plus aux cookies : c’est l’ensemble du cycle de vie de la donnée qui est scruté.

Ce que la CNIL contrôle en priorité sur votre site

Après analyse des décisions publiées et des thématiques de contrôle annoncées, voici les 4 points critiques que la CNIL vérifie systématiquement :

1. Cookies déposés avant consentement

C’est l’infraction la plus fréquente et la plus simple à détecter. La CNIL utilise des outils automatisés qui visitent votre site et analysent les requêtes réseau avant toute interaction avec la bannière de consentement.

Ce qu’ils trouvent souvent :

  • Google Analytics qui se déclenche immédiatement
  • Le pixel Meta chargé en dur dans le <head>
  • Des scripts tiers injectés par des plugins WordPress non audités
  • Des cookies _fbp, _ga, _gid créés dès le chargement

2. Traceurs non déclarés

Votre bannière CMP liste 12 traceurs, mais votre site en dépose 27. C’est un scénario classique. Les sources de traceurs fantômes :

  • Scripts A/B testing (VWO, AB Tasty, Kameleoon)
  • Widgets de chat (Intercom, Drift, Crisp)
  • CDN et services d’optimisation (Cloudflare Insights, New Relic)
  • Pixels de retargeting ajoutés par votre agence média

3. Transferts de données hors UE

Depuis l’invalidation du Privacy Shield et malgré le Data Privacy Framework, la CNIL reste vigilante. Chaque transfert vers un pays tiers doit être encadré par :

  • Des clauses contractuelles types (CCT) à jour
  • Une analyse d’impact du transfert (TIA)
  • Des mesures supplémentaires si nécessaire

4. Absence de DPO ou DPO fantôme

Pour les entreprises qui traitent des données à grande échelle, la désignation d’un DPO est obligatoire. La CNIL constate régulièrement que le DPO déclaré n’a ni les moyens ni les compétences pour exercer sa mission.

Comment protéger votre entreprise : plan d’action concret

Étape 1 : Audit RGPD complet de votre tracking

Commencez par un état des lieux exhaustif :

  • Scan automatisé de tous les cookies et traceurs déposés (avec et sans consentement)
  • Cartographie des flux de données : où partent les données collectées ?
  • Vérification de la CMP : est-elle correctement configurée ? Bloque-t-elle réellement les tags avant consentement ?
  • Revue du plan de marquage : chaque tag est-il documenté et justifié ?

Étape 2 : Configuration CMP conforme

Une CMP ne protège que si elle est correctement implémentée. Les points critiques :

// Exemple : Consent Mode V2 avec état par défaut restrictif
gtag('consent', 'default', {
  'ad_storage': 'denied',
  'ad_user_data': 'denied',
  'ad_personalization': 'denied',
  'analytics_storage': 'denied',
  'wait_for_update': 500
});
  • Le mode par défaut doit être denied pour tous les paramètres en Europe
  • Le paramètre wait_for_update donne le temps à la CMP de se charger
  • Chaque mise à jour de consentement doit déclencher un consent update correct

Étape 3 : Consent Mode V2

Le Consent Mode V2 est devenu incontournable. Il permet à Google de modéliser les conversions même quand l’utilisateur refuse les cookies, tout en restant conforme. Les deux nouveaux signaux (ad_user_data et ad_personalization) sont obligatoires depuis mars 2024.

Impact mesuré : les annonceurs avec Consent Mode V2 récupèrent en moyenne 65 % des conversions qui seraient perdues avec un blocage total.

Étape 4 : Server-side tracking pour la conformité

Le tracking server-side n’est pas qu’une question de performance. C’est un outil de conformité :

  • Contrôle total sur les données envoyées aux plateformes tierces
  • Filtrage des données personnelles avant transmission
  • Anonymisation des IP côté serveur
  • Cookies first-party qui ne sont pas soumis aux mêmes restrictions navigateur
  • Réduction de la surface d’attaque : moins de scripts tiers sur le site

Étape 5 : Documentation et gouvernance

La CNIL exige une documentation exhaustive :

  • Registre des traitements mis à jour
  • Analyses d’impact (AIPD) pour les traitements à risque
  • Politique de confidentialité claire et accessible
  • Procédures de gestion des droits des personnes (accès, suppression, portabilité)
  • Preuves de consentement horodatées

Les sanctions vont continuer à augmenter

La tendance est claire. Le budget de la CNIL a été renforcé, ses effectifs augmentent, et la coopération européenne (via le mécanisme de guichet unique du RGPD) amplifie la portée des contrôles.

En 2026, la CNIL a annoncé des contrôles thématiques ciblant :

  • Les applications mobiles et leurs SDK
  • Les systèmes d’IA et le traitement de données d’entraînement
  • Le secteur de la santé connectée
  • Les données des mineurs

Ne pas agir maintenant, c’est prendre le risque d’être le prochain exemple.

Passez à l’action

Un audit RGPD n’est pas une dépense : c’est une assurance. Le coût d’un audit complet représente une fraction infime d’une sanction CNIL, sans compter le préjudice d’image.

Chez chillmetrics, nous auditons votre tracking de A à Z : cookies, tags, flux de données, CMP, conformité des transferts. Vous repartez avec un rapport détaillé et un plan de remédiation priorisé.

Demandez votre audit RGPD et mettez votre tracking en conformité avant le prochain contrôle.

Besoin d'aide sur ce sujet ?

Nos consultants experts vous accompagnent. Devis gratuit sous 48h.

Demander un devis
Greg-Jordan Metoui
À propos de l'auteur
Greg-Jordan Metoui
Fondateur & Expert Data chez chillmetrics

Expert en data, tracking et analytics depuis plus de 17 ans. Accompagne les entreprises dans la mise en place de leur stratégie de collecte et d'exploitation de données.

Suivre sur LinkedIn →

Services associés

audit-rgpd

Articles similaires

trackingGoogle Ads

Coupe du Monde 2026 : comment préparer votre tracking publicitaire pour l'événement de l'année

26 mai 2026
trackingMeta Ads

Comment auditer vos pixels Meta, TikTok et Google Ads en 30 minutes

11 mai 2026
trackingdataLayer

DataLayer : le guide complet pour e-commerce (Shopify, PrestaShop, WooCommerce)

11 mai 2026