Face à un nombre record de violations de données en 2025, la Cnil va renforcer ses contrôles

Plus de contrôles et de sanctions: face à l'explosion du nombre de violations de données signalées en France, qui ont atteint un record en 2025, l'autorité protectrice de la vie privée va davantage traquer les manquements des organismes publics comme privés en matière de cybersécurité.

L'an dernier, la Commission nationale de l'informatique et des libertés (Cnil) a enregistré 6.167 notifications de violations de données, soit 9,5% de plus qu'en 2024, son plus haut niveau jamais enregistré, a-t-elle détaillé dans son bilan 2025.

"C'est 50% de plus sur ces trois dernières années", affirme à l'AFP Marie-Laure Denis, la présidente de la Cnil, qui regrette que certains organismes, institutions et entreprises ne soient toujours "pas assez" protégés.

La tendance s'accélère: en 2026, l'autorité a déjà relevé plus de 2.730 violations de données sur le seul premier trimestre, contre 2.500 sur la même période en 2025.

Pour la patronne de la Cnil, "personne n'est épargné". "Les violations sont de plus en plus massives" et "impliquent souvent des prestataires", plus vulnérables car souvent "de taille plus modeste" et dotés de systèmes de sécurité parfois moins performants.

Selon le rapport, la moitié de ces fuites de données sont liées à des piratages et concernent en particulier des secteurs comme l'administration publique, la santé et les activités financières.

Multiplication des fuites de données

Cette accélération s'explique par le fait que "ces attaques sont rentables, les données ont de la valeur, comme par exemple les données de santé". En outre, "le développement de l'intelligence artificielle automatise, industrialise et démocratise les attaques" tout en "permettant de les personnaliser en recoupant les données", a détaillé Mme Denis.

Par conséquent, "les contrôles de la Cnil et les conséquences répressives possibles en matière de cybersécurité vont fortement s'accentuer en 2026", a-t-elle averti.

Ils porteront notamment sur des organismes concernés par une violation, faisant l'objet de plaintes ou appartenant à des secteurs propices à traiter massivement des données.

Un accent sera mis sur les grandes bases de données, qui concernent plus d'un million de personnes, et qui ont fait l'objet d'une quarantaine de violations en 2025, soit dix de plus que l'année précédente.

Ces derniers mois, les fuites de données d'ampleur significative se sont multipliées, concernant aussi bien des fédérations sportives, des opérateurs de téléphonie comme Free ou des chaînes d'hôtels comme Logis Hôtels France ou Brit Hotel.

Mi-avril, l'Agence nationale des titres sécurisés (ANTS), qui gère les demandes de pièces d'identité, a été frappée par une attaque massive, concernant les données de près de 12 millions de particuliers et de professionnels.

Bonne hygiène numérique

"Ce qu'il faut absolument éviter, c'est un sentiment de résignation", a insisté Marie-Laure Denis, appelant à la vigilance des utilisateurs et une "bonne hygiène numérique": ne pas cliquer sur les liens douteux, adopter des mots de passe robustes, etc...

"Bien souvent, les personnes ne font pas un lien direct entre une violation de données (...) et les conséquences que ça a pour elles, parce que souvent la compromission de leurs données" peut survenir "plusieurs semaines plus tard", rappelle la présidente de la Cnil.

L'institution a infligé un montant record de près de 487 millions d'euros d'amendes l'an dernier, notamment en raison de deux sanctions importantes contre Google et Shein. Elle a prononcé 83 sanctions en 2025 pour un total de 486,8 millions d'euros, contre 87 sanctions et 55,2 millions d'euros d'amendes en 2024.

Elle a aussi placé l'IA générative, technologie qui repose sur l'exploitation massive de données, souvent personnelles, au cœur de ses préoccupations.

Face au développement rapide des agents IA, des outils basés sur un modèle d'intelligence artificielle et capables d'effectuer des tâches en ligne, "il y a un enjeu en termes d'exploitation et de sécurisation des données personnelles qui est plus important", a estimé Marie-Laure Denis.

Ce sujet sera discuté fin juin à Paris lors d'une table ronde des autorités de protection des données des pays du G7, organisée par la Cnil.