En 2025, la CNIL a enregistré 6 167 violations de données, soit une hausse de 9,5 % en un an. Face à cette accélération, l’autorité consacre désormais 50 % de ses contrôles à la cybersécurité en 2026. Ce durcissement concerne toutes les organisations françaises : entreprises, PME, collectivités et sous-traitants. Voici ce que cela change concrètement pour votre conformité RGPD.
CNIL 2026 : 50 % des contrôles porteront sur la sécurité des données
Le signal envoyé par la Commission nationale de l’informatique et des libertés est limpide : la protection des données personnelles ne peut plus être dissociée de la cybersécurité. Dans son rapport annuel 2025, l’autorité annonce qu’elle consacrera la moitié de ses actions répressives aux questions liées à la sécurité informatique cette année.
Les chiffres publiés par la CNIL montrent une accélération préoccupante :
- 6 167 violations de données notifiées en 2025
- +9,5 % en un an
- 1 incident sur 2 lié à un piratage informatique
- 20 150 plaintes reçues
- 487 millions d’euros d’amendes prononcées
La tendance pousse la CNIL à modifier profondément ses priorités opérationnelles. Et cette fois, le message s’adresse à tous : grandes entreprises, PME, collectivités, associations, établissements de santé et sous-traitants.
Piratages, sous-traitants, données massives : les trois alertes de la CNIL
Le sujet ne concerne plus seulement quelques grandes entreprises victimes de cyberattaques médiatisées. Aujourd’hui, toutes les organisations peuvent être touchées. La CNIL met en avant trois constats importants : personne n’est à l’abri, les violations deviennent massives, et les attaques passent souvent par des prestataires ou sous-traitants.
De nombreuses entreprises confient désormais leurs activités à des services externes : hébergement cloud, outils RH, logiciels CRM ou support informatique. Une faille chez un prestataire peut exposer des millions de données personnelles. La CNIL rappelle qu’externaliser un service ne signifie pas externaliser la responsabilité en matière de protection des données.
Violations de données en France : pourquoi cette hausse de 9,5 % ?
Plusieurs facteurs structurels se combinent. Les organisations stockent toujours plus de données sensibles : informations clients, coordonnées bancaires, données de santé. Plus ces bases deviennent importantes, plus elles attirent les cybercriminels. Par ailleurs, les attaques évoluent rapidement. Elles sont désormais automatisées, rapides et personnalisées. Les pirates utilisent les informations en ligne pour créer des arnaques très crédibles, rendant le phishing plus difficile à détecter.
Article 32 du RGPD : ce que la CNIL va désormais contrôler
Longtemps perçu comme un sujet administratif, le RGPD concerne avant tout la capacité à sécuriser les systèmes. L’article 32 impose des mesures techniques essentielles. Voici ce que la CNIL vérifiera prioritairement lors des contrôles de conformité :
| Mesure de sécurité | Objectif |
|---|---|
| Contrôle des accès | Limiter l’accès aux seules personnes autorisées |
| Chiffrement | Protéger les données en cas de vol |
| Sauvegardes | Restaurer les données après un incident |
| Gestion des habilitations | Encadrer les droits des utilisateurs |
| Sécurisation des infrastructures | Renforcer la protection des serveurs |
| Journalisation | Tracer les actions sur les systèmes |
| Détection des incidents | Identifier rapidement une anomalie |
Le non-respect de ces obligations peut entraîner une sanction, même sans fuite avérée. La CNIL renforce ses contrôles sur les aspects techniques, poussant les entreprises à investir davantage dans la sécurité informatique.
PME et cybersécurité : pourquoi les petites structures sont visées
Beaucoup de PME pensent ne pas être des cibles intéressantes. Pourtant, elles sont plus vulnérables en raison de ressources limitées et de politiques de sécurité insuffisantes. Une petite structure peut devenir une porte d’entrée vers une entreprise plus importante. Le sujet dépasse la simple conformité réglementaire : la cybersécurité impacte la continuité d’activité, la confiance clients et la réputation.
Règlement européen sur l’IA : quel rôle de contrôle pour la CNIL ?
Avec l’entrée en application de l’AI Act, la CNIL renforce son rôle de contrôle des systèmes d’IA dits à haut risque. Les contrôles viseront les usages sensibles : reconnaissance biométrique, recrutement automatisé, éducation ou surveillance. Ces outils peuvent influencer des décisions liées à l’emploi ou au crédit. La CNIL vérifiera la qualité des données, la limitation des biais, la transparence des algorithmes et la présence d’une supervision humaine. L’objectif est de permettre une IA de confiance sans compromettre la vie privée.
Ce virage réglementaire s’inscrit dans une dynamique plus large. Comme le souligne une analyse récente, l’IA transforme les métiers et nécessite des approches de risk management adaptées. Par ailleurs, les avancées en matière de cybersécurité IA permettent de mieux anticiper les manipulations. Enfin, les secteurs où l’IA gagne du terrain imposent une vigilance accrue sur la confidentialité des données.
Ce que les entreprises doivent changer avant les contrôles CNIL 2026
Le durcissement annoncé par la CNIL aura des conséquences concrètes. Voici les principaux changements à anticiper :
- Davantage d’audits liés à la sécurité technique
- Vérifications renforcées des prestataires et hébergeurs
- Besoin de preuves tangibles des mesures de sécurité
- Implication plus forte des dirigeants sur le sujet cyber
- Hausse probable des investissements en formation
- Sensibilisation accrue des salariés aux risques
Le changement culturel est le point le plus intéressant. Longtemps réservée aux DSI, la cybersécurité devient un sujet juridique, business et stratégique. La CNIL semble déterminée à accélérer cette prise de conscience.
Les sanctions peuvent-elles vraiment améliorer la cybersécurité ?
Les sanctions poussent les entreprises à mieux protéger leurs systèmes. Mais elles ne suffisent pas à résoudre tous les problèmes. Beaucoup d’organisations font face à un manque de compétences, des systèmes complexes et des budgets limités. Autre difficulté : les failles sont souvent découvertes après une attaque. La CNIL insiste donc sur l’hygiène numérique : mots de passe robustes, authentification multifactorielle et meilleure gestion des accès. Le défi aujourd’hui n’est plus seulement réglementaire : il est humain, technique et organisationnel.
Audit cybersécurité RGPD : les 6 questions avant un contrôle
Le rapport de la CNIL agit comme un avertissement. Beaucoup d’entreprises pensent être conformes, mais savent-elles réellement :
- Où sont stockées toutes leurs données sensibles ?
- Quels prestataires y ont accès ?
- Combien de comptes disposent de privilèges élevés ?
- Si leurs sauvegardes sont réellement exploitables ?
- Combien de temps elles mettraient à détecter une intrusion ?
- Si leurs collaborateurs savent reconnaître un phishing ?
La vraie difficulté est là : beaucoup pensent être protégés jusqu’au jour où ils découvrent qu’ils ne l’étaient pas. Face à cette évolution, la question n’est plus de savoir si votre organisation sera contrôlée, mais si elle sera prête le jour où ça arrivera.
