Plus de contrôles et de sanctions : face à l'explosion du nombre de violations de données signalées en France, qui ont atteint un record en 2025, l'autorité protectrice de la vie privée va davantage traquer les manquements des organismes en matière de cybersécurité.
Un nombre record de violations en 2025
L'an dernier, la Commission nationale de l'informatique et des libertés (Cnil) a enregistré 6 167 notifications de violations de données, soit 9,5 % de plus qu'en 2024, son plus haut niveau jamais enregistré, a-t-elle détaillé dans son bilan 2025. « C'est 50 % de plus sur ces trois dernières années », affirme Marie-Laure Denis, la présidente de la Cnil, qui regrette que certains organismes, institutions et entreprises ne soient toujours « pas assez » protégés. La tendance s'accélère : en 2026, l'autorité a déjà relevé plus de 2 730 violations de données sur le seul premier trimestre, contre 2 500 sur la même période en 2025.
Des violations de plus en plus massives
Pour la patronne de la Cnil, « personne n'est épargné ». « Les violations sont de plus en plus massives » et « impliquent souvent des prestataires », plus vulnérables car souvent « de taille plus modeste » et dotés de systèmes de sécurité parfois moins performants. Selon le rapport, la moitié de ces fuites de données sont liées à des piratages et concernent en particulier des secteurs comme l'administration publique, la santé et les activités financières.
Pourquoi ces attaques sont-elles rentables ?
Cette accélération s'explique par le fait que « ces attaques sont rentables, les données ont de la valeur, comme par exemple les données de santé ». En outre, « le développement de l'intelligence artificielle automatise, industrialise et démocratise les attaques » tout en « permettant de les personnaliser en recoupant les données », détaille Marie-Laure Denis.
Renforcement des contrôles en 2026
Par conséquent, « les contrôles de la Cnil et les conséquences répressives possibles en matière de cybersécurité vont fortement s'accentuer en 2026 », a-t-elle averti. Ils porteront notamment sur des organismes concernés par une violation, faisant l'objet de plaintes ou appartenant à des secteurs propices à traiter massivement des données. Un accent sera mis sur les grandes bases de données, qui concernent plus d'un million de personnes, et qui ont fait l'objet d'une quarantaine de violations en 2025, soit dix de plus que l'année précédente.
Des fuites de données d'ampleur significative
Ces derniers mois, les fuites de données d'ampleur significative se sont multipliées, concernant aussi bien des fédérations sportives, des opérateurs de téléphonie comme Free ou des chaînes d'hôtels comme Logis Hôtels France ou Brit Hotel. Mi-avril, l'Agence nationale des titres sécurisés (ANTS), qui gère les demandes de pièces d'identité, a été frappée par une attaque massive, concernant les données de près de 12 millions de particuliers et de professionnels.
Les bons réflexes à adopter
« Ce qu'il faut absolument éviter, c'est un sentiment de résignation », insiste Marie-Laure Denis, appelant à la vigilance des utilisateurs et une « bonne hygiène numérique » : ne pas cliquer sur les liens douteux, adopter des mots de passe robustes, etc. « Bien souvent, les personnes ne font pas un lien direct entre une violation de données (…) et les conséquences que ça a pour elles, parce que souvent la compromission de leurs données » peut survenir « plusieurs semaines plus tard », rappelle la présidente de la Cnil.
Des amendes record en 2025
L'institution a infligé un montant record de près de 487 millions d'euros d'amendes l'an dernier, notamment en raison de deux sanctions importantes contre Google et Shein. Elle a prononcé 83 sanctions en 2025 pour un total de 486,8 millions d'euros, contre 87 sanctions et 55,2 millions d'euros d'amendes en 2024.
L'IA générative au cœur des préoccupations
Elle a aussi placé l'IA générative, technologie qui repose sur l'exploitation massive de données, souvent personnelles, au cœur de ses préoccupations. Face au développement rapide des agents IA, des outils basés sur un modèle d'intelligence artificielle et capables d'effectuer des tâches en ligne, « il y a un enjeu en termes d'exploitation et de sécurisation des données personnelles qui est plus important », estime Marie-Laure Denis. Ce sujet sera discuté fin juin à Paris lors d'une table ronde des autorités de protection des données des pays du G7, organisée par la Cnil.
