« Personne n’est épargné. » Marie-Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés (Cnil), a annoncé lundi une augmentation des contrôles face à l’explosion du nombre de violations de données signalées en France. Ces dernières ont atteint un record en 2025 avec 6 167 notifications de violations de données, soit 9,5 % de plus qu’en 2024, son plus haut niveau jamais enregistré. Et la tendance s’accélère : en 2026, l’autorité a déjà relevé plus de 2 730 violations de données sur le seul premier trimestre, contre 2 500 sur la même période en 2025.
« C’est 50 % de plus sur ces trois dernières années », affirme la présidente de la Cnil, qui regrette que certains organismes, institutions et entreprises ne soient toujours « pas assez » protégés. « Les violations sont de plus en plus massives » et « impliquent souvent des prestataires », plus vulnérables car souvent « de taille plus modeste » et dotés de systèmes de sécurité parfois moins performants, détaille la commission dans un rapport.
Attaques « rentables »
La moitié de ces fuites de données sont liées à des piratages et concernent en particulier des secteurs comme l’administration publique, la santé et les activités financières. « Ces attaques sont rentables, les données ont de la valeur, comme par exemple les données de santé », a détaillé Marie-Laure Denis. En outre, « le développement de l’intelligence artificielle automatise, industrialise et démocratise les attaques » tout en « permettant de les personnaliser en recoupant les données ».
Pour tenter d’inverser la tendance, « les contrôles de la Cnil et les conséquences répressives possibles en matière de cybersécurité vont fortement s’accentuer en 2026 », a prévenu l’organisme. Ils porteront notamment sur des organismes concernés par une violation, faisant l’objet de plaintes ou appartenant à des secteurs propices à traiter massivement des données. Un accent sera notamment mis sur les grandes bases de données, qui concernent plus d’un million de personnes et qui ont fait l’objet d’une quarantaine de violations en 2025, soit dix de plus que l’année précédente.
83 sanctions en 2025
L’institution a déjà infligé un montant record de près de 487 millions d’euros d’amendes l’an dernier, notamment en raison de deux sanctions importantes contre Google et Shein. Elle a prononcé 83 sanctions en 2025 pour un total de 486,8 millions d’euros, contre 87 sanctions et 55,2 millions d’euros d’amendes en 2024.
Elle a aussi placé l’IA générative, technologie qui repose sur l’exploitation massive de données, souvent personnelles, au cœur de ses préoccupations. Face au développement rapide des agents IA, des outils basés sur un modèle d’intelligence artificielle et capables d’effectuer des tâches en ligne, « il y a un enjeu en termes d'exploitation et de sécurisation des données personnelles qui est plus important », a estimé Marie-Laure Denis. Ce sujet sera discuté fin juin à Paris lors d’une table ronde des autorités de protection des données des pays du G7, organisée par la Cnil.
« Bonne hygiène numérique »
Ces derniers mois, les fuites de données d’ampleur significative se sont multipliées, concernant aussi bien des fédérations sportives, des opérateurs de téléphonie comme Free ou des chaînes d’hôtels comme Logis Hôtels France ou Brit Hotel. Mi-avril, l’Agence nationale des titres sécurisés (ANTS), qui gère les demandes de pièces d’identité, a été frappée par une attaque massive, concernant les données de près de 12 millions de particuliers et de professionnels.
« Ce qu’il faut absolument éviter, c’est un sentiment de résignation », a insisté Marie-Laure Denis, appelant à la vigilance des utilisateurs et une « bonne hygiène numérique » : ne pas cliquer sur les liens douteux, adopter des mots de passe robustes, etc. « Bien souvent, les personnes ne font pas un lien direct entre une violation de données […] et les conséquences que ça a pour elles, parce que souvent la compromission de leurs données » peut survenir « plusieurs semaines plus tard », rappelle la présidente de la Cnil.
