Bilan CNIL 2025 : les cookies en tête des sanctions

La CNIL vient de publier son rapport annuel 2025. Si vous gérez un site avec des cookies ou des outils de mesure d'audience, un chiffre doit retenir votre attention : les cookies restent le premier motif de sanction.

Le rapport est sorti le 18 mai 2026. Il dresse le bilan d'une année record. En 2025 la CNIL a reçu 20 150 plaintes, soit 10 % de plus qu'en 2024. Elle a mené 323 contrôles, rendu 259 décisions et prononcé 83 sanctions pour un montant cumulé de près de 487 millions d'euros. C'est la deuxième année la plus répressive de son histoire.

Derrière ces chiffres, une réalité simple pour les petites structures. La CNIL ne vise pas que les géants du web.

Les cookies, encore et toujours

Sur les 83 sanctions de 2025, les cookies et traceurs arrivent en tête des manquements, avec 21 décisions. La surveillance des salariés, la prospection commerciale sans base légale et les défauts de sécurité complètent le haut du classement.

La sanction la plus marquante de l'année reste celle infligée à SHEIN : 150 millions d'euros, prononcée dans le cadre du plan d'action cookies de la CNIL. Le reproche est limpide et il revient sans cesse dans les décisions. Des traceurs publicitaires se déposaient sur les terminaux des internautes avant même qu'ils n'aient donné leur accord, et le refus n'était pas respecté.

Ce reproche n'a rien de propre aux grandes enseignes. C'est exactement le défaut que l'on retrouve sur des milliers de sites de PME, souvent sans que le gérant le sache.

Ce qui change pour 2026

La CNIL a annoncé sa priorité pour l'année en cours. En 2026 elle consacrera la moitié de ses contrôles et de ses actions répressives à la sécurité des données. Cette décision fait suite à un nombre record de notifications de violations, dont une bonne partie liée à du piratage.

Pour un site vitrine ou une boutique en ligne, la sécurité ne veut pas dire un dispositif compliqué. Cela commence par des bases concrètes. Un site servi entièrement en HTTPS. Des en-têtes de sécurité corrects. Des formulaires qui n'envoient pas les données en clair. Une politique de confidentialité qui dit vraiment ce que vous collectez.

Les cookies restent par ailleurs dans le viseur. La procédure simplifiée, créée en 2022, permet désormais de sanctionner un manquement évident en quatre à six mois, contre dix-huit à vingt-quatre mois auparavant. Un bandeau cookies non conforme n'est plus un risque lointain. C'est un risque rapide.

Comment vérifier votre site

Le point le plus simple à contrôler est aussi le plus sanctionné : est-ce que des traceurs se déposent avant le consentement ? Beaucoup de sites chargent Google Analytics, un pixel Meta ou une vidéo YouTube intégrée dès l'arrivée du visiteur, ce qui suffit à constituer le manquement reproché à SHEIN, à une autre échelle.

Vous pouvez vérifier ce que votre site dépose avant le moindre clic avec notre scanner gratuit. En trente secondes il vous montre quels traceurs se chargent et à quel moment, sans inscription.

Questions fréquentes

Mon site de petite entreprise doit-il avoir un bandeau cookies ?

Si votre site dépose des cookies non essentiels, comme la mesure d'audience ou la publicité, alors oui. L'article 82 de la loi Informatique et Libertés impose un consentement préalable avant de déposer ces traceurs.

La CNIL sanctionne-t-elle vraiment les PME ?

Oui. Avec la procédure simplifiée, les manquements courants comme un bandeau cookies non conforme sont traités en quelques mois. Les montants sont plus faibles que pour les grandes entreprises, mais le risque est bien réel.

Que reproche la CNIL exactement sur les cookies ?

Trois choses reviennent : déposer des traceurs avant le consentement, ne pas respecter un refus, et ne pas informer clairement l'internaute. C'est ce trio qui a valu 150 millions d'euros à SHEIN.

Combien de temps prend une sanction CNIL aujourd'hui ?

Avec la procédure simplifiée, quatre à six mois pour un manquement évident. C'est beaucoup plus rapide que les dix-huit à vingt-quatre mois de la procédure classique.

Quelle est la priorité de la CNIL en 2026 ?

La sécurité des données. La CNIL y consacrera la moitié de ses contrôles cette année, en réponse à la hausse des violations de données.

---

Vous ne savez pas ce que votre site dépose avant le clic ? Analysez votre site gratuitement, résultat en trente secondes.

À lire aussi :

• Le consentement aux cookies expliqué simplement
• Sanctions CNIL sur les cookies : ce qu'il faut savoir
• Scanner gratuit cookies et conformité