Le rapport annuel 2025 de la CNIL, publié le 18 mai 2026, dresse un constat sans précédent : jamais l’autorité française n’avait enregistré autant d’incidents en une seule année. Des chiffres qui traduisent une pression croissante sur les organisations en matière de conformité et de sécurité des données.
Des chiffres inédits
En 2025, la CNIL a enregistré 20 150 plaintes, soit une hausse de 10 % par rapport à 2024. Ces plaintes portent principalement sur le non-respect de la vie privée dans les relations de travail, le commerce, l’immobilier et les réseaux sociaux. Près de 1 900 d’entre elles concernent directement des violations de données personnelles.
Sur le plan des sanctions, la CNIL a mené 323 contrôles et prononcé 83 sanctions pour un montant total de 486,8 millions d’euros — contre 55,2 millions en 2024, soit une multiplication par 8,8 en un an. Deux dossiers majeurs, tous deux prononcés le 1er septembre 2025 sur le terrain des cookies et traceurs, représentent à eux seuls 475 millions d’euros de ce total (amendes de 325 et 150 millions d’euros). Au-delà de ces affaires emblématiques, la montée en puissance de la procédure simplifiée — instaurée en 2022 — permet désormais à la CNIL de sanctionner plus rapidement des manquements moins complexes impliquant des PME, indépendants et associations.
Un record de violations de données
Avec 6 167 violations de données notifiées en 2025, la CNIL bat un nouveau record. Un incident sur deux relève d’un piratage informatique, qui reste la cause la plus fréquente, devant les erreurs humaines comme l’envoi au mauvais destinataire ou la perte de matériel. Une quarantaine de violations susceptibles de concerner plus d’un million de personnes ont été notifiées dans l’année, touchant indifféremment des organismes publics et privés.
Les secteurs les plus exposés sont l’administration publique — qui représente 20 % des violations notifiées contre 11 % en 2023 —, le secteur de la santé, dont les données sont particulièrement recherchées par les attaquants, et les activités financières. Un schéma technique commun ressort de la majorité des incidents graves : l’usurpation de couples identifiant/mot de passe d’utilisateurs légitimes, souvent via un sous-traitant compromis.
La cybersécurité, axe prioritaire de contrôle
Face à cette explosion des incidents, la CNIL a fait de la cybersécurité un axe central de son activité de contrôle : les manquements en matière de sécurité représentent un tiers des contrôles menés et près de 30 % des sanctions prononcées. L’autorité annonce par ailleurs que toutes les bases de données de plus d’un million de personnes devront être soumises à l’authentification multifacteur (MFA), un point qui fera l’objet de contrôles dès 2026. Les collectivités territoriales sont particulièrement dans le viseur : fortement contrôlées en 2025, elles continueront de l’être en 2026.
La CNIL travaille également en coordination avec l’ANSSI et le parquet « cyber » de Paris pour les suites pénales dans les cas les plus graves, renforçant ainsi la portée opérationnelle de son action au-delà des seules sanctions administratives.
L’intelligence artificielle, nouveau chantier réglementaire
Dans un contexte de généralisation des usages liés à l’intelligence artificielle, la CNIL se prépare à l’entrée en application progressive du règlement européen sur l’IA (AI Act). La conformité au RGPD et la maîtrise des risques liés aux données deviennent ainsi des enjeux structurants pour toutes les organisations, à l’heure où les traitements automatisés de données se multiplient. Comme le souligne Marie-Laure Denis, présidente de la CNIL : personne n’est épargné — PME, associations, collectivités et grands groupes sont tous concernés.
Notre accompagnement
Face à l’augmentation des contrôles de la CNIL et à la multiplication des incidents liés aux données personnelles, la maîtrise des enjeux RGPD et cybersécurité devient un élément clé de la performance et de la résilience des organisations.
Chez SRA, nous accompagnons nos clients dans :
- la sécurisation des infrastructures, des systèmes et des accès aux données,
- la mise en place de dispositifs de sauvegarde, de supervision et de reprise d’activité,
- l’identification et la maîtrise des risques liés aux traitements de données, aux environnements cloud, à l’intelligence artificielle et à la sous-traitance,
- le renforcement des bonnes pratiques de sécurité face aux menaces actuelles, telles que le phishing, la compromission des comptes ou les fuites de données.
Vous souhaitez évaluer ou renforcer votre posture de sécurité et votre conformité réglementaire ?
Contactez nos équipes pour échanger sur vos enjeux et identifier les actions adaptées à votre organisation.