Bilan RGPD 2025 : sanctions, IA et nouvelles priorités pour les DPO

Bilan RGPD 2025 : sanctions, IA et nouvelles priorités pour les DPO
Article RGPD

2025 a marqué un tournant en matière de protection des données personnelles.
Non pas par une refonte du RGPD, mais par une accumulation de signaux forts : sanctions ciblées, nouvelles réglementations applicables, explosion des usages de l’IA et la multiplication des incidents liés aux prestataires.

Pour beaucoup d’organisations, cette année a mis en lumière une réalité inconfortable :
être conforme ne suffit plus, il faut pouvoir le démontrer, en continu.

Retour sur les événements marquants de 2025, les principaux points de vigilance qu’ils ont révélés, et comment les DPO peuvent concrètement s’y préparer.

1. Des sanctions toujours plus pédagogiques… et plus ciblées

En 2025, la CNIL a confirmé une tendance de fond :
les sanctions ne visent plus uniquement des manquements “spectaculaires”, mais des défaillances organisationnelles durables.

Une majorité des décisions publiées concernent :

  • la gestion des droits des personnes,
  • la durée de conservation excessive,
  • des mesures de sécurité jugées insuffisantes.

Des montants parfois modérés, mais des décisions très détaillées, explicitement pédagogiques.

Exemple concret :
Une organisation sanctionnée non pas pour absence de procédure, mais parce que celle-ci n’était ni appliquée ni connue des équipes, malgré plusieurs alertes internes.

Références :

Cookies déposés sans consentement  – VanityFair.fr :
https://actecil.eu/cookies-cnil-vanityfair/

Cookies – American Express Carte France (1,5 M €) :
https://actecil.eu/cnil-nexpublica-sanction/

2. IA et données personnelles : la fin de l’approximation

L’entrée en application progressive de l’AI Act a accéléré la prise de conscience :
l’IA n’est plus un sujet “tech” ou “innovation”, mais un sujet de conformité transverse.

  • Selon plusieurs baromètres sectoriels, plus d’une entreprise sur deux utilise déjà des outils d’IA générative impliquant des données professionnelles.
  • Dans de nombreux cas :
    • aucune cartographie formelle,
    • aucune analyse d’impact spécifique,
    • une méconnaissance des données réellement injectées.

Exemple concret :
Un service RH a utilisé un outil d’IA pour trier des candidatures, sans savoir que les données étaient conservées hors UE et réutilisées pour entraîner le modèle.

Comment s’y préparer

  • lancer une cartographie des usages IA réels, y compris “shadow IA” ;
  • intégrer l’IA dans le registre des traitements et les AIPD ;
  • former les équipes métiers sur les risques concrets, pas uniquement juridiques.
  • S’inscrire à notre prochaine session IA Act et RGPD

Références :

IA ACT : que risquent les entreprises non conformes ? : https://actecil-academy.eu/actualites-evenements/ia-act-que-risquent-les-entreprises-non-conformes/

Positionnements publics de la CNIL sur l’IA générative et les données personnelles (plan d’action IA, analyses, recommandations) :
https://www.cnil.fr/fr/intelligence-artificielle

Avis et lignes directrices du CEPD (EDPB) sur l’IA et le RGPD (guidelines, opinions, best practices) :
https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en

3. Sous-traitants et partenaires : le maillon faible persistant

Les violations de données impliquant des prestataires restent, en 2025, l’une des principales causes d’incidents déclarés.

  • Des contrats RGPD conformes sur le papier, mais :
    • jamais réévalués,
    • jamais audités,
    • parfois obsolètes face aux nouveaux usages (cloud, IA, externalisation).

Exemple concret :
Un incident de sécurité chez un prestataire IT entraînant une violation de données, alors même que le contrat RGPD n’avait pas été mis à jour depuis plus de 5 ans.

Référence :

Violation de données – Mobius Solutions Ltd (1 M €) :
https://www.cnil.fr/fr/violation-de-donnees-sanction-dun-million-deuros-lencontre-de-la-societe-mobius-solutions-ltd

Ce que l’on peut parfois sous-estimer

  • La nécessité d’un pilotage dans la durée des sous-traitants.
  • Les risques liés aux transferts de données indirects (support, maintenance, hébergement).

Comment s’y préparer

  • identifier les prestataires critiques (et pas tous) ;
  • planifier des revues annuelles ciblées ;
  • clarifier les responsabilités en cas d’incident avant qu’il ne survienne.

4. Droits des personnes : un sujet toujours perçu comme “secondaire”…

Malgré leur ancienneté, les droits des personnes restent l’un des premiers motifs de non-conformité constatés.

Exemple concret :
Une demande de droit d’accès traitée par le service client sans consultation du DPO, aboutissant à une réponse partielle… et à une plainte.

Ce que l’on peut parfois manquer

  • Le rôle clé de la formation des équipes opérationnelles.
  • L’impact réputationnel de ces manquements.

Comment s’y préparer

  • cartographier les circuits internes de traitement des demandes ;
  • tester les procédures via des “exercices à blanc” ;
  • former régulièrement les équipes en contact avec les personnes concernées.

Lien vers des décisions CNIL similaires :

16 sanctions via procédure simplifiée (incluant défaut de coopération et droits) :

https://www.cnil.fr/fr/la-cnil-prononce-16-nouvelles-sanctions-dans-le-cadre-de-la-procedure-simplifiee

5. 2025 : une année charnière pour la fonction DPO

Les événements de 2025 confirment une évolution profonde :
le DPO devient un acteur central de la gouvernance des données, au croisement du juridique, de l’IT, des métiers et de la stratégie.

Anticipation réglementaire, priorisation des risques, accompagnement du changement :
le rôle se renforce… mais nécessite plus que jamais du soutien, des outils et du temps.

Références clés :

Article 5.2 du RGPD (accountability) – obligation de démontrer le respect des principes : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5

Rapports annuels CNIL 2024–2025 (orientation des contrôles, priorités, tendances) :
https://www.cnil.fr/sites/default/files/2025-04/rapport_annuel_2024.pdf

Ressources CNIL sur le rôle et les missions du DPO :
https://www.cnil.fr/fr/delegue-la-protection-des-donnees-dpo

Comment Actecil vous accompagne

Beaucoup de DPO savent ce qu’il faudrait faire, mais manquent de ressources pour le faire durablement.

C’est pourquoi nous accompagnons les entreprises et les DPO à travers :

Pour 2026, entourés vous de partenaires qui vous permettent de maîtriser votre conformité.

Sources pour aller plus loin

Retour aux actualités
Partager l'article

Articles similaires

Pourquoi choisir un DPO externe ? 5 bénéfices clés pour votre entreprise
Article RGPD Nos missions

Pourquoi choisir un DPO externe ? 5 bénéfices clés pour votre entreprise

Depuis l’entrée en application du RGPD, de nombreuses organisations sont tenues de désigner un Délégué à la Protection des Données (DPO). Lorsqu’elles ne disposent pas des ressources ou compétences nécessaires en interne, elles peuvent faire appel à un DPO externe. Mais qu’est-ce qu’un DPO externe exactement ? À quoi sert-il ? Combien coûte-t-il ? Et comment bien le choisir ?
Lire la suite
Cookies : la CNIL inflige 750 000 € d’amende à vanityfair.fr
Article RGPD Sanctions CNIL

Cookies : la CNIL inflige 750 000 € d’amende à vanityfair.fr

Le 20 novembre 2025, la CNIL a prononcé une amende de 750 000 € à l’encontre de Les Publications Condé Nast, éditeur notamment du magazine en ligne Vanity Fair, pour des manquements graves aux obligations de consentement et d’information liées aux traceurs déposés sur le site vanityfair.fr.
Lire la suite