Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.