Le nombre de violations de données enregistrées dépasse désormais les 6 000. Les plaintes franchissent le cap des 20 000 pour la première fois. Autrement dit, le régulateur français ne fait plus dans la dentelle.
Mais le vrai changement, c’est la cible. Marie-Laure Denis, présidente de la CNIL, l’a dit au Monde le 18 mai 2026. L’État lui-même est dans le viseur. En 2026, plus personne ne sera épargné.
🚨
L’essentiel en 30 secondes
Record 2025 : 487 millions d’euros de sanctions, 20 150 plaintes, 6 167 violations de données (+9,5 %)
Signal fort : Marie-Laure Denis prévient, « L’État a une responsabilité particulière à l’égard des données des Français »
Cible 2026 : l’administration publique et les acteurs qui n’ont pas investi dans la sécurité
Article 32 RGPD : le chiffrement, la pseudonymisation et la résilience deviennent des points de contrôle systématiques
4 chantiers prioritaires : tests d’incident, audit sous-traitants, cartographie des risques, preuves de sécurité documentées
CNIL 2025-2026 : les chiffres qui font mal
Commençons par les ordres de grandeur. Le bilan 2025 de la CNIL donne le tournis. 487 millions d’euros de sanctions prononcées. C’est quasiment le double du montant de 2023.
Les violations de données atteignent 6 167 cas recensés. Cela représente une hausse de 9,5 % par rapport à 2024. Les plaintes bondissent à 20 150. Personne n’avait jamais vu ça.
Cette progression n’est pas linéaire. Elle s’accélère. La CNIL traite plus de dossiers, elle sanctionne plus lourdement, et elle ne recule devant aucun secteur. France Travail, opérateurs télécoms, hôpitaux, plateformes. Tous y passent.
Derrière ces chiffres, il y a une réalité simple. Les entreprises qui traitent le RGPD comme une formalité administrative sont devenues des cibles faciles. La CNIL le sait. Elle agit en conséquence.
L’État dans le viseur de Marie-Laure Denis
L’entretien de Marie-Laure Denis au Monde du 18 mai 2026 a marqué un tournant. Pour la première fois, la présidente de la CNIL pointe du doigt l’État lui-même. Ses mots sont pesés. « L’État a une responsabilité particulière à l’égard des données des Français. »
Le message est limpide. Les administrations publiques ne sont pas au-dessus des lois. Elles gèrent des millions de données personnelles. Elles subissent des cyberattaques récurrentes. Elles doivent montrer l’exemple en matière de sécurité.
En pratique, cela signifie des contrôles renforcés sur les organismes publics. Les préfectures, les agences gouvernementales, les collectivités. Tous devront prouver qu’ils protègent correctement les données des citoyens.
Cette posture n’est pas nouvelle chez Marie-Laure Denis. Elle l’avait déjà esquissée lors de son audition au Sénat. Mais le passage au Monde officialise le cap. 2026 sera l’année des contrôles dans le secteur public.
Année
Sanctions (M€)
Violations de données
Plaintes
2022
187
~4 000
~14 000
2023
242
~4 800
~16 000
2024
350
~5 600
~18 000
2025
487
6 167
20 150
La tendance est sans appel. Les sanctions ont plus que doublé en trois ans. Les violations de données progressent chaque année. Les plaintes suivent la même courbe ascendante.
Les 4 chantiers prioritaires pour les entreprises
Face à cette pression réglementaire, les entreprises doivent agir. Mais agir où exactement ? Voici les quatre chantiers que tout responsable conformité doit lancer sans attendre.
Premier chantier : les table-top exercises. Il ne suffit plus d’avoir une procédure de gestion d’incident dans un tiroir. Il faut la tester. Un exercice par semestre minimum. On simule une violation, on chronomètre la réaction, on identifie les failles. C’est concret, c’est rapide, ça coûte peu.
Deuxième chantier : l’audit des sous-traitants. L’article 28 du RGPD impose un encadrement contractuel strict. Pourtant, beaucoup d’entreprises délèguent à des prestataires sans vérifier leur niveau de sécurité. C’est une erreur coûteuse. La CNIL sanctionne le responsable de traitement même quand la faille vient d’un sous-traitant.
Troisième chantier : l’analyse d’impact (AIPD). Les traitements à haut risque nécessitent une AIPD documentée et à jour. Pas une coquille vide signée il y a trois ans. Une vraie cartographie des risques, mise à jour chaque fois que le traitement évolue.
Quatrième chantier : les preuves de sécurité. MFA activé partout. Chiffrement des données sensibles. Segmentation réseau opérationnelle. Sauvegardes testées régulièrement. La CNIL ne demande pas la perfection. Elle demande des preuves tangibles. Des logs, des rapports, des attestations.
L’article 32 du RGPD est désormais un point de contrôle systématique. Le chiffrement, la pseudonymisation et la résilience sont vérifiés à chaque audit. Pas d’échappatoire possible.
Quant à l’article 33, il impose la notification de violation dans les 72 heures. Au-delà, c’est la porte ouverte à une sanction aggravée. La CNIL note systématiquement les retards de notification dans ses décisions.
⚠️ Plus personne ne sera épargné
Le message de Marie-Laure Denis est clair : le statut public n’exonère ni des obligations de sécurité ni de la notification sous 72 heures. La CNIL assume désormais une posture de régulateur ferme.
Pour les organisations qui ont longtemps considéré le RGPD comme une obligation administrative, 2026 sera l’année du rattrapage.
Sanctions récentes : qui a pris cher ?
Les décisions de la CNIL en 2025 et début 2026 montrent une détermination sans précédent. Aucun secteur n’est épargné.
Du côté de France Travail, la CNIL a rappelé que la protection des données des demandeurs d’emploi exige une vigilance maximale. Les données de santé et les situations financières personnelles méritent une sécurité renforcée.
Les opérateurs télécoms ont également été dans la ligne de mire. Les fuites de données clients, les accès non autorisés aux bases de facturation. Chaque incident donne lieu à un contrôle approfondi et souvent à une sanction.
Le secteur hospitalier n’est pas en reste. Les établissements de santé concentrent des volumes massifs de données sensibles. Un seul ransomware peut compromettre des milliers de dossiers patients. La CNIL le rappelle régulièrement.
Les plateformes numériques font l’objet d’une surveillance accrue. Le ciblage publicitaire, la collecte excessive de données, l’absence de consentement valide. Ces pratiques sont désormais sanctionnées systématiquement.
Le point commun de toutes ces sanctions ? L’article 32 du RGPD. C’est lui qui revient dans presque chaque décision. La sécurité insuffisante du traitement est la faille numéro un constatée par les inspecteurs de la CNIL.
✅ Ce qu’un DPO doit faire maintenant
Organiser un table-top exercise de gestion d’incident par semestre
Auditer les contrats sous-traitants (article 28 RGPD)
Mettre à jour la cartographie des traitements à haut risque
Documenter les mesures de sécurité : MFA, chiffrement, sauvegardes testées
❌ Ce qui déclenche un contrôle CNIL
Notification de violation tardive (au-delà de 72 heures)
Aucune preuve de mesures de sécurité concrètes
Sous-traitants non encadrés contractuellement
AIPD manquante sur les traitements à haut risque
La leçon est claire. Les CNIL sanctions 2026 toucheront toutes les organisations qui n’auront pas investi dans la sécurité avant le passage des inspecteurs. Il ne s’agit plus de se conformer sur le papier. Il faut démontrer des résultats concrets.
Le budget conformité n’est plus une dépense. C’est une assurance. Et le prix d’une amende est autrement plus élevé que celui d’un audit préventif.
🧠 Testez vos connaissances
Quel est le montant des sanctions CNIL en 2025 ?
Sous quel délai une violation de données doit-elle être notifiée à la CNIL ?
Quel article du RGPD impose la sécurité du traitement ?
Quel est le bilan de la CNIL pour 2025 ? ▼
20 150 plaintes, 487 millions d'euros de sanctions et 6 167 violations de données enregistrées. C'est un record historique, en hausse de 9,5 % par rapport à 2024.
Pourquoi la CNIL cible-t-elle l'État en 2026 ? ▼
Marie-Laure Denis, présidente de la CNIL, a déclaré que « L'État a une responsabilité particulière à l'égard des données des Français ». Les administrations publiques concentrent une part disproportionnée des incidents les plus visibles.
Quels sont les 4 chantiers prioritaires recommandés ? ▼
1. Tester la procédure d'incident (table-top exercise par semestre). 2. Auditer les sous-traitants critiques (article 28 RGPD). 3. Cartographier les traitements à haut risque avec AIPD. 4. Documenter les mesures de sécurité (MFA, chiffrement, sauvegardes).
Quelles sont les sanctions possibles de la CNIL ? ▼
La CNIL peut infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (article 83 du RGPD). En 2025, elle a déjà prononcé 487 millions d'euros de sanctions au total.
Comment prouver sa conformité en cas de contrôle ? ▼
Il faut documenter tout : registre des traitements, AIPD, contrats sous-traitants, preuves de MFA, chiffrement, tests de sauvegardes, exercices d'incident. La CNIL attend des preuves concrètes, pas des déclarations d'intention.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Fondateur d'alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
