Fuites de données : pourquoi la CNIL ne traque pas les hackers (mais les entreprises)

Alors que les cyberattaques se multiplient en France, avec plus de 2 730 notifications de fuites de données enregistrées au premier trimestre 2026, la Commission nationale de l’informatique et des libertés (CNIL) annonce un changement de stratégie. Contrôles renforcés, sanctions alourdies : le régulateur entend passer de la communication à l’action.

📌

Sommaire

En bref — L’essentiel à retenir

Explosion des alertes : 2 730 notifications de violations de données enregistrées au seul premier trimestre 2026.
Changement de cap : Les contrôles axés sur la cybersécurité doublent et représentent désormais 50 % des interventions de la CNIL.
Sanctions dissuasives : Les amendes peuvent grimper jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Effet de levier : Le régulateur s’attaque en priorité aux organisations gérant de gigantesques bases de données.
Goulot d’étranglement : La commission ne compte que 303 agents pour contrôler et instruire l’ensemble des dossiers français.

2 730 Fuites notifiées (Q1 2026)

50 % Des contrôles axés Cyber

2 % Du CA mondial max d’amende

303 Agents seulement à la CNIL

Ce que la CNIL change concrètement

💡 La Doctrine de la CNIL face aux cyberattaques

Une idée reçue consiste à croire que la CNIL sanctionne les entreprises pour avoir été victimes des hackers. C’est faux. Le régulateur n’intervient que si l’enquête démontre que l’organisme a fait preuve de négligence manifeste avant l’attaque.

Absence de double authentification (2FA), serveurs non mis à jour, mots de passe stockés en clair ou défaut de chiffrement : la CNIL sanctionne la faiblesse des barrières, pas l’existence des cambrioleurs.

La présidente de la CNIL, Marie-Laure Denis, n’y va pas par quatre mots : l’augmentation des violations de données sur les trois dernières années est de 50 %. Mais les chiffres officiels masquent une réalité encore plus sombre.

En 2025, la CNIL a officiellement enregistré 6 167 violations. Mais ce nombre ne prend pas en compte les 11 600 notifications supplémentaires liées aux attaques contre les éditeurs Weda et Harvest, deux incidents massifs qui ont fait exploser le compteur réel à 17 802 violations, contre 5 630 en 2024.

Face à cette explosion, la CNIL agit sur deux fronts.

Première mesure : plus de contrôles. La part des contrôles portant sur les manquements en cybersécurité passe de 30 % à 50 % de l’activité de la commission. En 2025, la CNIL avait déjà réalisé 323 contrôles. Entités publiques comme privées seront concernées, avec une priorisation claire : les organisations détenant de grandes bases de données.

Seconde mesure : des amendes plus lourdes. En cas de manquement constaté, les sanctions peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

À titre de comparaison, Free a écopé d’une amende de 42 millions d’euros plus tôt cette année suite à une fuite ayant exposé plus de 24 millions de contrats. Le précédent donne une idée de ce qui attend les organisations négligentes.

Un régulateur sous-dimensionné ?

Il y a un chiffre qui interpelle dans le rapport annuel de la CNIL : 303 agents en 2025. C’est le nombre total de personnes chargées de contrôler, sanctionner et accompagner l’ensemble des acteurs économiques et publics français en matière de protection des données.

Face à plus de 17 000 violations recensées (Weda et Harvest inclus), cela représente environ 56 dossiers par agent, sans compter les missions historiques de la CNIL (plaintes des citoyens, conseils aux entreprises, conformité RGPD, etc.).

Victor Nicolle, directeur des contrôles et des sanctions de la CNIL, se veut rassurant : « Les actions de communication sur l’action répressive de la CNIL et sa politique de contrôle donnent de vrais résultats. » Reste à voir si ces résultats seront suffisants pour inverser la tendance en 2026.

Ce qui concerne les particuliers

Pour les citoyens, trois conséquences directes :

Plus de transparence : Les organismes seront incités à notifier plus rapidement les fuites, ce qui signifie une information plus rapide en cas d’incident
Plus de responsabilités : Les entreprises qui ne sécurisent pas vos données risquent des sanctions dissuasives
Un droit renforcé : En cas de manquement avéré, les particuliers peuvent porter plainte auprès de la CNIL en plus d’engager une action individuelle

Le contexte : une année record

🔒 Tableau noir : Les brèches majeures de 2026

ANTS / France Titres 11,7M de comptes

Exposition massive de données d’identité et de comptes usagers.

Pierre & Vacances / Belambra 5M de clients cumulés

Piratage via faille IDOR (accès direct non autorisé aux fiches clients).

McDonald’s France Comptes fidélité ciblés

Vols et détournements de points via attaques par bourrage d’identifiants.

Secteur Bancaire (FICOBA) 1,2M de comptes

Fuite d’informations liées au fichier national des comptes bancaires.

Les premiers mois de 2026 ont déjà vu passer une série d’attaques sans précédent en France :

ANTS / France Titres : 11,7 millions de comptes exposés
Pierre & Vacances : 2 millions de clients concernés (IDOR)
Belambra : 3 millions de clients concernés
Gîtes de France : 389 000 clients, via le prestataire Itea
McDonald’s France : comptes fidélité piratés, points débités frauduleusement
Bouygues Telecom, Éducation Nationale, Fichier FICOBA : 1,2 million de comptes bancaires exposés

La CNIL ne s’attaque pas aux pirates. Elle s’attaque à ceux qui n’ont pas protégé les données. La question reste ouverte : est-ce suffisant ?