Rapport CNIL 2025 : IA, cookies et grandes entreprises

La Commission Nationale de l'Informatique et des Libertés (CNIL) a publié son rapport annuel 2025 le 2 avril 2026, donnant un aperçu de ses travaux de contrôle et de ses priorités au cours de l'année écoulée. Le rapport montre que la CNIL s'est concentrée sur une action plus rapide et plus visible dans cinq domaines principaux : les algorithmes et l'IA, la liberté et la sécurité, les grandes entreprises technologiques, le commerce de données et l'administration numérique.

Ce que la CNIL a fait en 2025

Selon la Commission Nationale de l'Informatique et des Libertés, l'autorité a conclu des accords dans des dossiers de sanction contre diverses organisations, dans le but de résoudre des violations manifestes sans procédures juridiques longues. Dans d'autres cas, la CNIL a eu recours à des interventions plus légères, telles que des échanges explicatifs et des avertissements, pour amener les organisations à modifier leurs pratiques.

Parmi les problèmes traités, la CNIL a mis en demeure de nombreuses organisations de mettre à jour leurs bandeaux de cookies ou de cesser entièrement d'utiliser des logiciels de traçage. Elle a également mis en garde des chatbots qui diffusaient des conseils électoraux incorrects, et est intervenue lorsque des organisations réutilisaient des informations publiques sans base légale ou partageaient des données médicales sans garanties appropriées.

Sur le front des grandes entreprises technologiques, la CNIL a appelé les utilisateurs de LinkedIn et de Meta à ajuster leurs paramètres de confidentialité pour éviter que leurs données ne soient utilisées pour entraîner des modèles d'IA. La CNIL a également informé le Parlement que la police conservait des données plus longtemps que ce que la loi autorise.

Pour accompagner les organisations travaillant avec la publicité politique, la CNIL a publié un guide visant à réduire l'utilisation des données personnelles dans ce contexte. L'autorité a également effectué des visites supplémentaires auprès de collectivités locales dans le cadre de ses activités de contrôle.

Ce que les entreprises doivent retenir

Le rapport de la CNIL indique clairement que les bandeaux de cookies et les logiciels de traçage restent des priorités actives en matière de contrôle. Si votre site web utilise des outils d'analyse, des traceurs publicitaires ou des cookies tiers, il est utile de vérifier si votre bandeau de cookies répond aux exigences actuelles. Vous pouvez utiliser notre liste de contrôle de conformité RGPD comme point de départ.

L'attention portée au commerce de données et à l'IA indique également que la CNIL surveille de près la façon dont les données personnelles circulent entre les systèmes et les plateformes. Si vous utilisez des outils automatisés ou des services tiers qui traitent des données clients, il est prudent de revoir vos exigences en matière de politique de confidentialité.

Pour avoir une vue d'ensemble de ce que le non-respect des règles peut signifier pour une petite entreprise, consultez notre guide sur les amendes RGPD pour les petites entreprises.

Qu'est-ce que cela signifie pour votre site web ?

Le rapport 2025 de la CNIL confirme que les bandeaux de cookies et les outils de traçage figurent parmi les préoccupations actives de l'autorité en matière de contrôle, ce qui signifie que même les petits sites web ne sont pas hors de portée. Si vous n'avez pas revu vos paramètres de cookies ou votre politique de confidentialité récemment, c'est le moment de le faire concrètement. Prendre des mesures simples et concrètes pour se conformer aux règles est exactement le type de comportement que la CNIL dit vouloir encourager dans le cadre de ses travaux d'orientation.

Source : Autoriteit Persoonsgegevens