Quelles sanctions la CNIL a-t-elle prononcees en 2025 ?

En 2025, la CNIL a pris 259 decisions, prononce 83 sanctions et 143 mises en demeure. Le montant total des amendes atteint 486,8 millions d'euros, en tres nette augmentation par rapport a 2024 (55,2 M euros). Les sanctions incluent 325 M euros contre Google et 150 M euros contre Shein. Les controles s'intensifient aussi pour les TPE/PME.

Mon bandeau cookies est-il conforme aux exigences CNIL ?

La formulation « en continuant votre navigation, vous acceptez les cookies » est illegale. La CNIL exige un consentement explicite avec un bouton « tout accepter », un bouton « tout refuser » egalement accessible, et un panneau de personnalisation. Les dark patterns qui rendent le refus plus difficile sont interdits.

Google Analytics 4 est-il conforme au RGPD ?

GA4 apporte des ameliorations (anonymisation IP par defaut, Consent Mode v2), mais elles ne sont efficaces que si vous les activez explicitement. Sans configuration du Consent Mode et des signaux analytics_storage/ad_storage, vous exposez vos utilisateurs a une collecte hors UE sans base legale solide. Les alternatives souveraines (Matomo, Plausible) eliminent ce risque.

Comment gerer le droit a l'effacement dans Sylius ?

Sylius ne fournit pas de solution cle en main. Le developpeur doit implementer une commande Symfony qui anonymise ou supprime un compte client, et une autre qui genere un export JSON/CSV pour la portabilite. Ces mecanismes doivent etre traces et documentes pour satisfaire l'obligation d'accountability.

Comment verifier rapidement si mon site est une bombe a retardement RGPD ?

Quatre audits : audit de consentement (tester le bandeau avec un navigateur propre), audit de flux (lister tous les services tiers et verifier leur localisation + DPA), audit de securite (OWASP Top 10, chiffrement, donnees de test), audit juridique (mentions legales, politique de confidentialite, contrats de sous-traitance).

Mon Site est-il Vraiment Conforme RGPD ou y a-t-il des Bombes a Retardement ?

Le Reglement General sur la Protection des Donnees (RGPD) n'est plus une nouveaute juridique que l'on peut repousser au prochain exercice. Il est entre en vigueur en mai 2018, et pourtant, en 2026, plus de 70 % des sites web francais ne sont toujours pas pleinement conformes. Pendant ce temps, la CNIL a prononce 486,8 millions d'euros d'amendes sur la seule annee 2025, dans un contexte de controles qui s'intensifient chaque annee, y compris envers les TPE et PME.

Le RGPD, une realite pour tout site

Une idee recue tenace voudrait que le RGPD ne concerne que les grands groupes. C'est faux. Une adresse email collectee via un simple formulaire de contact suffit a vous placer sous le coup du reglement. Une adresse IP enregistree par un outil d'analyse d'audience est egalement une donnee personnelle. Des lors que votre site utilise Google Analytics, un pixel Meta, un formulaire d'inscription ou un module de paiement, vous traitez des donnees personnelles.

En 2026, 25 autorites europeennes participent a une action coordonnee de controle des obligations de transparence et d'information (articles 12, 13 et 14 du RGPD). La CNIL assure la coordination avec le CEPD. Ce focus sur la transparence est un signal fort : il ne suffit plus d'avoir une politique de confidentialite dans le footer.

Les bombes a retardement classiques

Le bandeau cookies qui n'en est pas un

Beaucoup de sites affichent « en continuant votre navigation, vous acceptez les cookies ». Cette formulation est illegale depuis plusieurs annees. La CNIL exige un consentement explicite, libre, specifique et eclaire, materialise par une action positive de l'utilisateur.

La mecanique correcte : un bouton « tout accepter », un bouton « tout refuser » egalement accessible, et un panneau de personnalisation. Ces trois elements doivent etre visibles et depourvus de dark patterns.

L'absence de bandeau conforme n'est pas un detail cosmetique. En 2025, la CNIL a prononce 325 millions d'euros contre Google dans le cadre de son plan d'action cookies, et 900 000 euros contre une societe pour non-respect du consentement lors de demarchage.

Google Analytics et les transferts de donnees hors UE

C'est un classique de chaque audit : un site integre Google Analytics sans aucune configuration de conformite. La CNIL a clairement etabli que l'utilisation classique de GA sans garanties est non conforme au regard de l'arret Schrems II.

GA4 a apporte des ameliorations : anonymisation des adresses IP par defaut, durees de conservation raccourcies, et surtout un Consent Mode v2 qui adapte le comportement du tag selon les choix de l'utilisateur. Mais ces ameliorations ne sont efficaces que si vous les activez explicitement.

Les alternatives souveraines comme Matomo, Piwik PRO ou Plausible, auto-hebergees sur un serveur europeen, eliminent ce risque a la racine.

L'hebergement et la souverainete des donnees

De nombreux projets sont heberges sur des infrastructures americaines (AWS, Google Cloud) dont les serveurs sont situes hors de l'EEE. Le RGPD n'interdit pas les transferts hors UE, mais les encadre strictement : decision d'adequation, clauses contractuelles types (CCT), regles d'entreprise contraignantes (BCR).

En pratique, peu de TPE-PME ont mis en place ces instruments. L'hebergement sur un cloud souverain (OVH, Scaleway, Infomaniak, Clever Cloud) ou sur un VPS localise en France est une parade simple et economique. Consultez notre article sur les scripts d'automatisation et conformite RGPD pour approfondir.

RGPD et e-commerce : pourquoi Sylius change la donne

Ce que collecte reellement une boutique en ligne

Un site e-commerce sous Sylius traite mecaniquement une quantite importante de donnees : prenom, nom, adresse, email, telephone, historique de commandes, donnees de paiement, reviews produits. Les tables sylius_customer, sylius_address, sylius_shop_user ou sylius_order contiennent des informations directement identifiantes.

Par defaut, Sylius ne transfere aucune donnee a des tiers. Mais l'installation de plugins, de passerelles de paiement (PayPal, Stripe) ou de modules de newsletter introduit immediatement des flux vers des organismes externes. Chaque flux doit etre documente dans un registre de traitement.

L'approche technique pour un e-commerce conforme

En tant que developpeur Symfony et Sylius, j'applique une methodologie en trois etapes :

Etape 1 : architecture et minimisation. Des la conception, les donnees personnelles sont identifiees, leur duree de conservation est definie, et seules les informations strictement necessaires sont collectees. Ne pas exiger le telephone si le transporteur ne l'utilise pas, ne pas conserver les donnees de paiement apres confirmation.

Etape 2 : securite applicative integree. Les environnements de developpement et de recette ne doivent jamais contenir de donnees personnelles reelles. L'anonymisation automatique des bases via DbToolsBundle, integree dans le pipeline CI/CD, garantit cette isolation. Chiffrement au repos et en transit, gestion des secrets via Vault, audit OWASP Top 10.

Etape 3 : gestion dynamique des consentements. Le bundle Hagreed pour Symfony permet d'integrer une solution de gestion des consentements complete : banniere, classification des cookies, consentement granulaire, compatible Consent Mode v2 pour Google Analytics.

Droit a l'effacement et portabilite

Le RGPD donne aux personnes le droit de demander l'effacement (article 17) et la portabilite (article 20). Sylius ne fournit pas de solution cle en main. Le developpeur doit implementer :

Une commande Symfony qui anonymise ou supprime un compte client
Une commande qui genere un export JSON ou CSV contenant l'ensemble des donnees personnelles liees a un utilisateur

Ces mecanismes doivent etre traces et documentes, car l'obligation d'accountability impose de pouvoir demontrer la conformite a tout moment.

Le volet juridique incontournable

Le registre des traitements

Un registre des activites de traitement est obligatoire pour toute entreprise de plus de 250 salaries, mais egalement pour les TPE-PME des lors que le traitement n'est pas occasionnel (ce qui est le cas de tout site e-commerce). Ce registre decrit la finalite, la base legale, les categories de donnees, les destinataires et les durees de conservation.

Les bases legales : ne pas se tromper

Le consentement n'est pas toujours la bonne base. L'execution d'un contrat (donnees pour livrer une commande) ou l'interet legitime (prevention de la fraude) peuvent etre plus solides. A l'inverse, invoquer un interet legitime pour du tracking publicitaire est un abus qui expose a des sanctions. La CNIL a sanctionne a 3,5 millions d'euros une societe qui transmettait des emails a un reseau social sans consentement valable.

Le tableau de bord des sanctions 2025-2026

Indicateur	2023	2024	2025
Montant total des amendes CNIL	89,2 M euros	55,2 M euros	486,8 M euros
Nombre de sanctions	-	-	83
Nombre de mises en demeure	-	-	143
Amendes UE totales	-	-	1,15 Md euros (330+ amendes)

Comment verifier si votre site est une bombe a retardement

La methode tient en quatre piliers, pour un petit site vitrine comme pour une boutique Sylius a fort trafic :

Audit de consentement : testez votre bandeau avec un navigateur propre. Le refus est-il aussi simple que l'acceptation ? Votre site depose-t-il des cookies avant tout consentement ? Un outil comme CookieViz permet de le verifier.
Audit de flux : dressez la liste de tous les services tiers charges (GA, Meta Pixel, Hotjar, Intercom, reCAPTCHA, CDN). Pour chaque service, verifiez la localisation des serveurs, l'existence d'un DPA et la presence dans votre registre.
Audit de securite : protection contre injections SQL, failles XSS, acces non autorises. Chiffrement des donnees sensibles au repos. Environnements de test sans donnees reelles.
Audit juridique : mentions legales a jour, politique de confidentialite precise, contrats de sous-traitance signes avec chaque prestataire.

Si l'un de ces piliers est manquant, la bombe est amorcee. Le delai entre un controle CNIL et une sanction est souvent de quelques mois seulement.

Transformer la conformite en avantage concurrentiel

La conformite n'est pas qu'une contrainte. Un site qui affiche clairement sa politique de confidentialite, qui laisse le visiteur choisir ses preferences sans dark pattern, et qui garantit la souverainete de l'hebergement, envoie un message fort : « nous respectons vos donnees comme nous respectons votre argent ».

Dans un marche ou les geants du e-commerce sont regulierement sanctionnes, une boutique sous Sylius, hebergee chez un cloud souverain, avec un bandeau cookies parfaitement configure et un Consent Mode active, se positionne comme une alternative ethique et securisee. C'est un argument commercial puissant que beaucoup de marchands sous-exploitent encore.

Conclusion : ne laissez pas les bombes exploser

La conformite RGPD n'est pas une case a cocher une fois pour toutes. C'est un processus continu qui evolue avec votre site, vos plugins et la jurisprudence. En 2026, les autorites de controle ont clairement annonce qu'elles allaient renforcer leurs controles et que la transparence serait au coeur de leur action.

Un audit RGPD n'est pas un luxe. C'est un investissement qui protege votre entreprise, rassure vos clients, et differencie votre site dans un paysage numerique de plus en plus regule. Si vous n'avez pas verifie votre conformite depuis plus d'un an, il y a de fortes chances que des bombes a retardement soient deja en place. Le meilleur moment pour les desamorcer, c'est avant qu'un controle ne les fasse exploser.

En tant que developpeur independant expert Symfony, React et Sylius, je realise des audits RGPD techniques complets et implemente les correctifs necessaires. Contactez-moi pour un audit de votre site, ou consultez nos formules et tarifs.