Amendes CNIL : le gouvernement veut les rediriger vers un fonds de modernisation IT des administrations

5/5/26
👈 les autres actualités

Le gouvernement français veut affecter 100 % des amendes prononcées par la CNIL à un fonds de modernisation des infrastructures numériques de l'État. L'annonce, glissée dans le plan cyber de Sébastien Lecornu, transformerait l'autorité de contrôle des données en source de financement de la sécurité IT publique — une approche quasi inédite en Europe.

Ce qui s'est passé

Dans le sillage de son plan d'action cybersécurité dévoilé fin avril après le piratage de l'ANTS et le déblocage de 200 M€ pour les administrations, le Premier ministre a précisé une mesure budgétaire qui sort du cadre habituel : « l'ensemble des amendes prononcées par la CNIL [serait] affecté à un fonds de modernisation des infrastructures numériques de l'État ». Les contours exacts seront débattus lors de l'examen du prochain projet de loi de finances.

La CNIL, qui jusqu'ici reverse les sommes encaissées au Trésor public et au budget général, deviendrait ainsi la source d'un fonds dédié à sécuriser les SI ministériels. Sur le papier, la manne est conséquente — mais sa volatilité est extrême.

Une manne réelle mais imprévisible

Selon les chiffres rappelés par ZDnet, le total des amendes infligées par la CNIL atteignait 486 millions d'euros en 2025, gonflé par deux décisions exceptionnelles (325 M€ contre Google, 150 M€ contre Shein). En 2024, la même autorité avait prononcé seulement 55 M€ de sanctions ; 89 M€ en 2023. Le premier trimestre 2026 a déjà vu 47 M€ de sanctions tomber, tirées par deux opérateurs télécoms condamnés pour défaut de sécurité.

Cette volatilité pose une question structurelle : un fonds de modernisation ne peut pas reposer sur des recettes qui peuvent passer de 55 M€ à 486 M€ d'une année à l'autre selon que la CNIL frappe ou non les géants américains. À l'échelle européenne, l'EDPB recensait 1,15 Md€ d'amendes en 2025 sur l'ensemble des autorités du guichet unique : la France n'en représente qu'une fraction, mais une fraction très élastique.

Autre subtilité technique : les recours déposés devant le Conseil d'État, encadrés par le droit au recours juridictionnel effectif de l'article 78 RGPD, peuvent réduire significativement les montants finalement encaissés. Amazon France a ainsi vu une amende de 32 M€ ramenée à 15 M€ fin 2025 après examen du Conseil d'État. Le fonds devra donc absorber des révisions à la baisse, pas seulement des entrées.

Pourquoi c'est important : une rupture avec la doctrine européenne

La pratique européenne, jusqu'à présent, est claire : les amendes prononcées au titre du RGPD — qui peuvent atteindre 20 M€ ou 4 % du chiffre d'affaires mondial selon l'article 83 — sont versées au budget général de l'État membre concerné, sans affectation spécifique. La logique est celle de la séparation : l'autorité sanctionne, le budget de l'État absorbe, le pouvoir politique alloue.

Affecter directement les amendes à un poste de dépense (cybersécurité IT) crée un lien fonctionnel discutable. L'agence espagnole de protection des données pratiquait jusqu'en 2024 un dispositif proche, et la cour des comptes espagnole le lui reprochait précisément : un régulateur qui finance son écosystème via ses sanctions s'expose à une suspicion d'orientation des contrôles.

Dans le contexte français, le risque est différent : la CNIL ne s'auto-financerait pas, mais ses décisions deviendraient un outil budgétaire au service de la feuille de route cybersécurité de l'État alignée sur NIS 2. L'indépendance fonctionnelle de l'autorité reste préservée — mais l'optique politique change.

Ce que ça change pour les organisations

Pour les responsables conformité et les DPO, plusieurs angles à anticiper :

  • Une pression sanctionnelle potentiellement plus visible. Si les amendes alimentent un fonds identifiable, leur traçabilité publique augmente. Les communications de la CNIL autour de ses décisions risquent de se densifier.
  • Une politique de contrôles de l'État sur lui-même qui monte d'un cran. Le fonds sert d'abord à moderniser les administrations. Les organismes publics — collectivités, hôpitaux, agences — devront s'attendre à une exigence accrue sur la sécurité de l'article 32 RGPD, désormais financée et donc auditée.
  • Une opportunité pour les TPE/PME publiques sous-financées. Plusieurs voix (Yasmine Douadi notamment) demandent qu'une part du fonds bénéficie aussi aux structures privées sous-dotées. Le périmètre exact reste ouvert et fera l'objet d'un débat parlementaire.
  • Pas de changement immédiat du barème. Le mécanisme ne modifie ni les critères ni les montants des sanctions : seul le destinataire des recettes change. Les arbitrages internes des entreprises (provisionnement, défense, négociation) restent identiques.

Ce que Leto pense de cette décision

Politiquement habile, juridiquement bancal. Affecter les amendes CNIL à la cybersécurité publique a la vertu narrative de boucler la boucle : l'argent des manquements à la sécurité finance la mise à niveau de l'État. Mais la mesure crée une dépendance budgétaire à des recettes par nature imprévisibles, et brouille la séparation entre fonction de régulation et politique publique. À un moment où l'EDPB plaide pour plus d'indépendance des autorités, la France prend le chemin opposé. Le débat parlementaire à venir devra clarifier la gouvernance du fonds — sous peine de transformer une bonne intention en angle mort démocratique.

Sources : ZDnet, « A quoi vont servir les amendes de la CNIL ? » (5 mai 2026).

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026