Le 30 décembre 2025, la CNIL a infligé 3,5 millions d’euros d’amende à une société ayant utilisé les données de son programme de fidélité pour du ciblage publicitaire sur un réseau social. La décision retient plusieurs manquements au RGPD : absence de base légale valable, information insuffisante, défaut d’analyse d’impact, mesures de sécurité inadaptées et non-respect des règles sur les cookies.

Illustration d’une violation de données personnelles impliquant l’opérateur télécom FREE. Un utilisateur tient un smartphone affichant une alerte « Data Breach », symbolisant une cyberattaque et la compromission de données personnelles, sur fond rouge évoquant l’urgence et le risque numérique.

Par une délibération du 22 décembre 2025, la Commission nationale de l’informatique et des libertés (ci-après « la Cnil ») a infligé une amende de 1,7 million d’euros à la société Nexpublica France (anciennement Inetum) pour des manquements graves à son obligation de sécurité des données personnelles. Cette sanction concerne un logiciel de gestion des usagers utilisé dans le secteur de l’action sociale et rappelle avec force que la protection des données, en particulier lorsq