La Commission nationale de l'informatique et des libertés (Cnil) a tiré la sonnette d'alarme ce lundi : l'année 2025 a connu un nombre « record » de violations de données en France. L'autorité protectrice de la vie privée annonce un renforcement des contrôles et des sanctions pour 2026, en particulier concernant la sécurisation des données.
Un nombre record de 6 167 notifications
Selon le rapport annuel de la Cnil, 6 167 notifications de violations de données ont été enregistrées en 2025, soit une augmentation de 9,5 % par rapport à 2024. Il s'agit du plus haut niveau jamais comptabilisé. La moitié de ces fuites sont liées à des piratages, touchant notamment l'administration publique, la santé, ainsi que les activités financières et d'assurance.
En 2026, la tendance s'accélère encore : sur le seul premier trimestre, l'autorité a déjà relevé plus de 2 730 violations de données. Ces derniers mois, les fuites d'ampleur significative se sont multipliées, concernant des fédérations sportives, des chaînes d'hôtels ou encore l'Agence nationale des titres sécurisés (ANTS).
L'IA, un facteur d'accélération des attaques
« Personne n'est épargné », souligne Marie-Laure Denis, la présidente de la Cnil. « Les violations sont de plus en plus massives » et « impliquent souvent des prestataires », plus vulnérables car « de taille plus modeste » et dotés de systèmes de sécurité parfois moins performants. Pour elle, cette accélération s'explique par la rentabilité des attaques : « Les données ont de la valeur, comme par exemple les données de santé. »
Elle pointe également le rôle de l'intelligence artificielle : « Le développement de l'IA automatise, industrialise et démocratise les attaques », tout en « permettant de les personnaliser en recoupant les données ». Face à cette menace croissante, la Cnil entend durcir le ton.
Renforcement des contrôles et sanctions en 2026
« Les contrôles de la Cnil et les conséquences répressives possibles en matière de cybersécurité vont fortement s'accentuer en 2026 », a averti Marie-Laure Denis. Les bases de données réunissant plus d'un million de personnes seront particulièrement ciblées : elles ont fait l'objet d'une quarantaine de violations en 2025, soit dix de plus que l'année précédente.
Ce bilan 2025 ne tient pas compte des cyberattaques ayant visé les logiciels de Weda en novembre (pour les professionnels de santé) et de Harvest en février (pour les professionnels du conseil patrimonial). Ces deux incidents ont entraîné à eux seuls plus de 11 600 notifications de différentes entreprises clientes auprès de la Cnil, alors qu'il s'agissait d'un même incident, a précisé l'organisme.
