La Cnil durcit le ton face à l’explosion des fuites de données en 2025

L’autorité française de protection de la vie privée va intensifier ses contrôles et ses sanctions après un nombre record de violations de données signalées l’an dernier.

La Commission nationale de l’informatique et des libertés a enregistré 6 167 notifications de brèches de sécurité en 2025, soit une hausse de 9,5 % par rapport à 2024. Ce chiffre constitue un nouveau sommet historique, et la tendance s’accélère avec plus de 2 730 incidents déjà recensés au premier trimestre 2026. Marie-Laure Denis, présidente de la Cnil, a souligné que la progression atteint 50 % sur les trois dernières années, tout en déplorant que de nombreux organismes publics et privés restent insuffisamment protégés.

Selon le rapport annuel de l’institution, la moitié des fuites proviennent d’attaques informatiques, touchant prioritairement l’administration, le secteur de la santé et les activités financières. La généralisation de l’intelligence artificielle, qui automatise et personnalise les cyberattaques, est pointée du doigt. Les pirates exploitent la valeur croissante des données, notamment celles liées à la santé, ce qui rend ces opérations particulièrement lucratives.

Face à cette situation, la Cnil annonce un renforcement significatif de ses actions répressives en 2026. Les contrôles cibleront en priorité les organismes ayant déjà fait l’objet de plaintes, ceux appartenant à des secteurs manipulant de grands volumes de données, ainsi que les bases contenant plus d’un million de personnes. L’année dernière, une quarantaine de violations ont concerné de telles bases, soit dix de plus qu’en 2024.

Plusieurs incidents récents illustrent cette escalade. Des fédérations sportives, des opérateurs téléphoniques comme Free, ou encore des chaînes hôtelières telles que Logis Hôtels France et Brit Hotel ont été touchés. En avril, l’Agence nationale des titres sécurisés a subi une attaque massive affectant près de 12 millions de citoyens et de professionnels.

Marie-Laure Denis appelle à ne pas céder au fatalisme et insiste sur l’importance d’une « bonne hygiène numérique ». Elle rappelle que les conséquences d’une compromission de données peuvent survenir plusieurs semaines après l’incident, rendant le lien difficile à établir pour les victimes.

En 2025, la Cnil a prononcé 83 sanctions, pour un montant total de 486,8 millions d’euros d’amendes. Ce record s’explique notamment par deux lourdes pénalités infligées à Google et Shein. Par ailleurs, l’autorité place l’intelligence artificielle générative au cœur de ses préoccupations. Le développement des agents IA, capables d’effectuer des tâches en ligne en exploitant des données personnelles, soulève des enjeux majeurs de sécurisation. Ce thème sera abordé fin juin à Paris lors d’une table ronde réunissant les autorités de protection des données des pays du G7.