La CNIL vient de publier son rapport annuel pour 2025 et le constat fait froid dans le dos : 6 167 notifications de violations de données reçues, soit près de 10 pourcent de plus qu'en 2024, et un record absolu depuis la création de ce registre. Pire encore, le rythme s'accélère en 2026 avec déjà plus de 2 700 cas au seul premier trimestre. Et personne n'est à l'abri.
Les chiffres fous
Hausse de 9,5 pourcent sur un an, plus de 6 100 dossiers ouverts, et la moitié de ces incidents relèvent directement d'une cyberattaque. Le piratage est l'attaque la plus fréquente, devant les erreurs humaines internes et les fuites accidentelles. La CNIL pointe aussi une concentration croissante des dégâts. Pour 2025, une quarantaine de violations concernaient des bases de données contenant plus d'un million de personnes, soit dix de plus qu'en 2024. Au total, environ 40 millions de comptes ont été compromis sur l'année selon les chiffres compilés par l'autorité. Et 2026 démarre encore plus fort, avec déjà 2 730 notifications enregistrées rien qu'au premier trimestre.
Tous les secteurs y passent
Marie-Laure Denis, présidente de la CNIL insiste sur le fait que personne n'est épargné. Administration publique, santé, finance, assurance se retrouvent en première ligne, mais les exemples qui frappent viennent de tous les horizons. L'ANTS, qui gère les titres sécurisés, a vu plus de 12 millions de particuliers et professionnels touchés en avril 2026. Le logiciel Weda, utilisé par les professionnels de santé, a généré à lui seul plus de 11 600 notifications. Harvest dans le conseil patrimonial, la Fédération française de rugby, plusieurs chaînes hôtelières : la liste s'allonge sans fin. Les sous-traitants sont souvent au cœur du problème, ce qui rend l'attaque difficile à anticiper pour les entreprises qui leur confient leurs données. Et l'IA générative est passée par là, en démocratisant et en industrialisant les attaques.
La CNIL sanctionne
Face à cette accélération des fuites, l'autorité a clairement changé d'échelle dans la sanction. Pas moins de 83 sanctions ont été prononcées en 2025 pour la bagatelle somme de 487 millions d'euros, contre 55,2 millions sur 87 sanctions un an plus tôt. La facture a donc été multipliée par neuf, c'est du jamais vu. Parmi les dossiers les plus forts : Free et Free Mobile à 42 millions cumulés, France Travail à 5 millions, Mobius Solutions à 1 million... L'institution a également reçu 20 150 plaintes (en hausse de 10 pourcent) et mené 323 contrôles sur l'année. Pour l'année 2026 en cours, l'autorité annonce vouloir consacrer la moitié de ses contrôles et de ses actions répressives à la cybersécurité, en pointant en particulier les récidivistes.
On en dit quoi ?
Il y a de quoi être un peu inquiet. Le fait que les sous-traitants soient régulièrement à l'origine des fuites est particulièrement gênant, parce que l'entreprise qui confie ses données n'a souvent aucun moyen de contrôler la sécurité côté prestataire. L'arrivée de l'IA générative dans la boîte à outils des attaquants ne va clairement pas arranger les choses dans les mois qui viennent. Mais bon, le mieux est peut-être de se dire, désormais, que de toutes manières, toutes nos données sont dans la nature et voilà, tout est foutu de ce côté là...
