Free a écopé cette semaine d'une amende de 42 millions d'euros, prononcée par la CNIL. Shein ou encore Orange ont aussi payé cash leurs violations respectives. Mais au fait, où atterrissent tous ces millions ?
Mercredi, la Commission nationale de l'informatique et des libertés a opéré un premier coup d'éclat en 2026, en sanctionnant Free et Free Mobile d'un total de 42 millions d'euros d'amendes, après la cyberattaque survenue en octobre 2024. Une sanction parmi d'autres, comme celles plus grandes encore infligées à Shein (150 millions d'euros), Google (325 millions) ou Orange (50 millions). Ces montants, très importants, tombent-ils directement dans la poche de la CNIL ? La réponse va en surprendre (ou en rassurer, c'est selon) plus d'un.
La CNIL a infligé de très grosses amendes ces quinze derniers mois
La facture pour Free est importante. L'enquête de la CNIL a mis au jour un festival de négligences, avec des accès VPN mal protégés, des systèmes de détection aux abonnés absents, et surtout 24 millions de contrats d'abonnés exposés. Pire, des IBAN se sont retrouvés dans la nature. Une faille qui a valu 27 millions d'euros d'amende à Free Mobile, et 15 millions à Free.
L'opérateur n'est pas seul à être passé à la caisse après avoir été sur le banc des accusés. Orange avait ouvert le bal en novembre 2024 avec 50 millions d'euros d'amende pour avoir glissé des publicités dans les boîtes mail de 7,8 millions d'utilisateurs. Quelques mois plus tard, en septembre 2025, Shein se prenait 150 millions d'euros pour avoir déposé des cookies publicitaires sans demander l'avis de personne, et Google 325 millions.
Total des courses pour ces seules quatre entreprises : 567 millions d'euros. Voilà pour les montants. Reste maintenant la vraie question : une fois que la formation restreinte (cinq membres et un président spécialement désigné) de la CNIL a tapé du poing sur la table, que devient concrètement cet argent ? La réponse tient en trois mots : le Trésor public.
La CNIL ne garde pas un centime de ses propres amendes
Les amendes prononcées par la CNIL ne tombent pas dans ses caisses, non. Pas un euro. Tout est récupéré par la Direction générale des Finances publiques (DGFiP), qui encaisse ces sommes comme n'importe quelle recette de l'État. Et attention, les entreprises sanctionnées doivent payer immédiatement, même si elles contestent devant le Conseil d'État.
Une fois dans l'escarcelle du Trésor, direction le budget général de l'État. Autrement dit, ces millions rejoignent le pot commun qui finance routes, hôpitaux, salaires des fonctionnaires et toutes les autres dépenses publiques. Aucun fléchage vers la cybersécurité, aucune rallonge spéciale pour la protection des données. Et surtout, aucune indemnisation des victimes. Tout se dilue dans la machine étatique. Notons, tout de même, que la dernière amende infligée à Free facilitera probablement le dépôt d'une requête collective en indemnisation pour les abonnés et anciens clients lésés.
Ce qui est certain, c'est que la CNIL est de plus en plus sévère dans ses sanctions, à mesure sans doute que les différentes réglementations s'installent. Le gendarme des données a prononcé 89 millions d'euros d'amendes. En 2024, 55 millions. 2025 fut une année record pour la commission. L'autorité, qui n'a rien touché de tout cela, fonctionne avec des crédits votés au Parlement, même si l'absence de vote du budget pour le moment pourrait à terme être un problème. Le système garantit son indépendance, certes, mais il interroge : est-il vraiment logique que ces sanctions ne servent pas directement à mieux protéger nos données ?
)
