Des prestations informatiques ont été sanctionnés à des amendes d'un million d'euros pour non respect de la conservation des données.
La Tribune avec Gemini
La Commission nationale de l'informatique et des libertés (CNIL) a publié ce 9 février son rapport annuel, révélant un montant historique d'amendes : 487 millions d'euros pour l'année 2025, soit neuf fois plus qu'en 2024 (55,21 millions). Deux sanctions représentent à elles seules près des trois quarts de cette somme, Google (325 millions d'euros) et la plateforme de e-commerce Shein (150 millions d'euros), toutes deux condamnées pour un suivi illégal des données clients via les cookies.
Au-delà de ces montants exceptionnels, le gendarme français de la protection de la vie privée a mis l'accent sur de nombreuses infractions liées à la vidéosurveillance illégale de clients ou d'employés. Les condamnés restent anonymes, car il s'agit de procédures simplifiées, plafonnées à 20 000 euros. Parmi les sociétés sanctionnées figurent des enseignes de grande distribution, des entreprises de vente de produits, ou encore une association gérant un lycée pour jeunes en difficulté.
« Si les grands dossiers impliquant les géants de la tech font les gros titres, nous observons en parallèle une nette augmentation des procédures simplifiées », analyse l'avocat Alan Walter. « L'anonymisation des sociétés condamnées peut certes faire débat lorsqu'il s'agit de grands groupes. Mais dans ces affaires aux sanctions financièrement limitées, dévoiler le nom de l'entreprise causerait un préjudice bien supérieur à l'amende elle-même ». L'affaire Intersport, condamné à 3,5 millions d'euros pour avoir partagé des données tout en conservant l'anonymat, avait déjà quelques interrogations parmi les juristes sur les choix de la Cnil.
Autre point marquant, l’autorité administrative se montre particulièrement attentive aux manquements en matière de sécurité, n'hésitant pas à sanctionner les services publics, comme France Travail récemment, frappé d'une amende de 5 millions d'euros pour une vaste fuite de données. « Sur les cinq dernières années, les sanctions, mises en demeure ou rappels pour manquements de sécurité se sont clairement multipliés », souligne Alan Walter.
« Habituellement, les entreprises sous le coup d'une enquête disposent d'un délai pour se mettre en conformité et peuvent espérer un simple rappel si elles renforcent leur sécurisation. Mais nous constatons que de nombreuses situations impliquent des prestataires qui ont mal géré les données hébergées pour le compte d'une entreprise cliente. »
Chaque jour à 13h, l’essentiel de l’actualité tech.
Illustration avec le prestataire Mobius, sanctionné à hauteur d'un million d'euros pour avoir conservé une copie des données de plus de 46 millions d'utilisateurs de la plateforme de streaming musical Deezer après la fin de leur relation contractuelle, malgré son obligation de supprimer l'ensemble de ces informations.
« La frontière reste toutefois mince entre manque de sécurité et cyberattaque. Ces dernières sont parfois inévitables car elles ne dépendent pas uniquement des mesures prises par les entreprises. Des débats juridiques nous attendent sur ce sujet », anticipe Alan Walter. La transposition prévue cette année de la directive européenne NIS2 devra par ailleurs introduire une sanction pénale pour les dirigeants en cas de manquement de sécurité. Alors que les fuites de données sont en hausse chaque année, le cadre juridique espère endiguer la vague avec une triple sanction, réputationnelle, financière et bientôt pénale pour les individus.
