La Commission nationale de l’informatique et des libertés (Cnil) a recensé un nombre inédit de violations de données en 2025. Selon Ouest France, l’autorité indépendante en charge de la protection des données personnelles en France a confirmé cette tendance et annoncé des mesures renforcées pour mieux encadrer les pratiques des organismes concernés.

Ce qu'il faut retenir

  • En 2025, la Cnil a enregistré un nombre record de violations de données, selon ses propres statistiques.
  • L’autorité a décidé de renforcer ses contrôles pour limiter ces incidents et mieux protéger les citoyens.
  • Ces violations concernent principalement des fuites de données personnelles, un enjeu majeur pour la vie privée.
  • La Cnil n’a pas encore précisé le nombre exact d’incidents, mais évoque une hausse significative par rapport aux années précédentes.

Un contexte marqué par une hausse des cybermenaces

L’année 2025 a été marquée par une augmentation des cyberattaques et des fuites de données à l’échelle mondiale. Ouest France rappelle que la digitalisation croissante des services publics et privés expose davantage les données sensibles. Les secteurs de la santé, de la finance et des technologies restent particulièrement vulnérables, où une faille peut avoir des conséquences immédiates pour des milliers d’individus. La Cnil, garante du respect du RGPD en France, joue un rôle central dans la réponse à ces incidents.

Face à cette situation, l’autorité a décidé de serrer la vis sur les organismes qui ne respectent pas leurs obligations légales. Les contrôles inopinés pourraient ainsi se multiplier, avec des sanctions financières à la clé en cas de manquement avéré. « La protection des données n’est plus une option, mais une priorité absolue », a souligné un porte-parole de la Cnil, sans préciser de calendrier exact pour ces nouvelles mesures.

Des sanctions déjà en vigueur, mais un besoin d’anticipation accru

La Cnil dispose déjà d’un arsenal de sanctions, allant de l’avertissement au retrait de l’autorisation de traitement des données. Pourtant, les chiffres de 2025 montrent que ces outils ne suffisent pas à endiguer la multiplication des violations. Parmi les cas les plus médiatisés, on retrouve des fuites touchant des bases de données clients, des données médicales ou encore des identifiants bancaires. Ces incidents rappellent l’importance d’une vigilance constante de la part des entreprises et des administrations.

Un rapport préliminaire, cité par Ouest France, indique que près de 60 % des violations enregistrées en 2025 auraient pu être évitées avec des mesures de sécurité plus strictes. La Cnil a d’ailleurs rappelé dans un communiqué que « les obligations de sécurité ne sont pas négociables ». Ces déclarations s’inscrivent dans un contexte où les régulateurs européens renforcent leur coopération pour harmoniser les pratiques en matière de protection des données.

Quels secteurs sont les plus exposés ?

Les données disponibles suggèrent que certains domaines sont plus touchés que d’autres. Le secteur de la santé, par exemple, a été particulièrement exposé en 2025, avec plusieurs cas de ransomware ayant paralysé des établissements hospitaliers. Les fuites de données bancaires, quant à elles, restent un fléau récurrent, notamment auprès des fintechs et des banques en ligne. « Les cybercriminels ciblent systématiquement les données à forte valeur monétaire ou identitaire », explique un expert en cybersécurité interrogé par Ouest France.

Les collectivités locales et les administrations publiques ne sont pas épargnées non plus. Plusieurs communes ont signalé des intrusions dans leurs systèmes, mettant en lumière les lacunes en matière de cybersécurité au sein du service public. Face à ce constat, la Cnil a annoncé qu’elle allait prioriser les contrôles dans ces secteurs d’ici la fin de l’année 2026.

Et maintenant ?

D’ici la fin du premier semestre 2026, la Cnil devrait publier une liste des bonnes pratiques à adopter pour les organismes sous sa supervision. Une plateforme de signalement en temps réel des violations, déjà en phase de test, pourrait être généralisée d’ici l’automne prochain. Les entreprises concernées sont donc invitées à revoir leurs protocoles de sécurité avant que les nouveaux contrôles ne soient pleinement déployés.

Cette intensification des mesures intervient alors que l’Union européenne finalise son nouveau cadre réglementaire sur la cybersécurité, le Digital Operational Resilience Act (DORA). Ce texte, dont l’entrée en vigueur est prévue pour janvier 2027, imposera des obligations encore plus strictes aux acteurs financiers. La Cnil, de son côté, devrait adapter ses directives pour s’aligner sur ces nouvelles exigences européennes.

Les sanctions peuvent aller de l’avertissement à une amende administrative pouvant atteindre 4 % du chiffre d’affaires mondial de l’entreprise concernée, conformément au RGPD. Dans les cas les plus graves, la Cnil peut également ordonner le blocage des traitements de données ou leur destruction.