CNIL : 6 167 violations de données en 2025, le record inquiétant
Tu as peut-être vu passer l’info en fin d’année dernière. La CNIL a publié son bilan annuel des violations de données. Le chiffre fait froid dans le dos. 6 167 déclarations reçues en 2025.
C’est un record absolu. Jamais la commission n’avait enregistré autant de signalements en une seule année. Et si tu regardes la courbe sur les cinq derniers temps, elle ne fait que monter.
Entre le piratage d’Almerys qui a touché des millions de patients et la fuite de l’ANTS qui expose des passeports entiers, on a de quoi s’inquiéter. Mais ce chiffre seul ne dit pas tout. Creusons un peu.
🚨
L’essentiel en 30 secondes
6 167 violations déclarées à la CNIL en 2025, un record jamais atteint
+23% par rapport à 2024, la tendance s’accélère depuis 3 ans
Almerys, ANTS et DGFIP figurent parmi les cas les plus médiatisés
78% des violations concernent le secteur privé, notamment la santé et le e-commerce
Ces violations données CNIL marquent un tournant dans la protection de la vie privée en France.
Les violations données CNIL en chiffres
Ce qu’il faut savoir
Les 6 167 notifications reçues par la CNIL couvrent tous types de fuites. Rançongiciels, erreurs humaines, accès non autorisés. Le spectre est large.
Le secteur de la santé reste le plus exposé. Normal quand on y stocke des données ultra-sensibles. Les hôpitaux se font attaquer régulièrement. Les laboratoires aussi. Almerys en est un exemple parfait avec ses 33 millions de personnes impactées.
Par ailleurs, le secteur public monte en puissance dans ces statistiques. Les collectivités locales, les administrations… Elles subissent de plus en plus d’attaques. La DGFIP a elle-même été touchée, ce qui montre que personne n’est vraiment à l’abri.
Toutefois, il faut nuancer. Une hausse des notifications ne signifie pas forcément une hausse des incidents. Elle reflète aussi une meilleure sensibilisation. Depuis le RGPD, les entreprises savent qu’elles doivent déclarer. Beaucoup le faisaient mal avant.
En pratique, voici ce que disent les chiffres clés :
6 167 violations notifiées à la CNIL en 2025 (+23% vs 2024)
38% des incidents liés à des rançongiciels
22% causés par des erreurs internes (mauvais envoi d’email, etc.)
15% provenaient d’accès non autorisés par d’anciens employés
Le délai moyen de notification était de 5,2 jours (la loi impose 72h)
Le hic, c’est que certaines violations mettent des mois à être détectées. Les vrais chiffres sont probablement supérieurs.
🔴 Pourquoi c’est inquiétant
Vérifier si tes comptes ont été touchés sur HaveIBeenPwned
Activer l’authentification à deux facteurs partout
Utiliser un gestionnaire de mots de passe comme Bitwarden
Surveiller les relevés bancaires après chaque alerte publique
✅ Ce qu’il faut faire
Réutiliser le même mot de passe sur plusieurs sites
Cliquer sur des liens suspects après une annonce de fuite
Paniquer et fermer tous ses comptes sans réfléchir
Ignorer les emails officiels de notification
Comment protéger tes données au quotidien
Face à ce genre de statistiques, on se sent parfois impuissant. En réalité, il existe des gestes simples qui réduisent déjà pas mal les risques.
Commence par tes mots de passe. Si tu utilises encore le même partout, change ça aujourd’hui. Un gestionnaire gratuit comme Bitwarden fait très bien le boulot. Pas besoin de prendre une version payante pour un usage personnel.
Ensuite, active la double authentification. Partout où c’est possible. Email, banque, réseaux sociaux. Même si quelqu’un récupère ton mot de passe, il ne pourra rien faire sans le second facteur.
Cependant, attention aux SMS comme second facteur. C’est mieux que rien, mais un gestionnaire TOTP ou une clé physique reste préférable. Les SIM swapping existent et restent efficaces contre les SMS.
Pour tes données les plus sensibles (impôts, sécurité sociale), consulte régulièrement tes espaces personnels. Un changement d’adresse ou un courrier étrange, ça se remarque vite quand on jette un oeil une fois par mois.
Installe un gestionnaire de mots de passe (Bitwarden, KeePassXC)
Génère des mots de passe uniques pour chaque service
Active la double authentification sur tes comptes critiques
Inscris-toi sur HaveIBeenPwned pour recevoir des alertes
Vérifie mensuellement tes comptes sensibles
⚠️ Important
Après une violation de données massive comme celle d’Almerys, méfie-toi des emails de phishing qui suivent toujours. Les cybercriminels exploitent la médiatisation pour envoyer de faux courriels au nom de l’organisation touchée. Vérifie toujours l’expéditeur avant de cliquer.
🧠 Testez vos connaissances
Sous quel délai doit-on notifier la CNIL après une violation de données ?
Quel secteur est le plus touché par les violations de données en France ?
Combien de violations la CNIL a-t-elle enregistrées en 2025 ?
Pourquoi autant de violations en 2025 ? ▼
Plusieurs facteurs se cumulent. Les rançongiciels gagnent en sophistication, les entreprises stockent plus de données numériques, et la sensibilisation au reporting s’améliore aussi. La hausse n’est donc pas uniquement liée à plus d’attaques.
Que risque une entreprise qui ne déclare pas une fuite ? ▼
La CNIL peut infliger des sanctions allant jusqu’à 4% du chiffre d’affaires mondial ou 20 millions d’euros. Le non-respect de l’obligation de notification est pris très au sérieux.
Comment savoir si mes données ont été compromises ? ▼
Consulte le site HaveIBeenPwned.com. Il agrège les bases de données connues provenant de violations publiques. Tu peux aussi surveiller les annonces de la CNIL et les communications des organisations touchées.
La CNIL publie-t-elle la liste complète des violations ? ▼
Non. La CNIL ne rend pas public le détail de chaque notification. Elle communique sur les grosses affaires médiatiques et publie des statistiques globales. Certaines entreprises notifient directement leurs utilisateurs.
Est-ce que les particuliers peuvent porter plainte ? ▼
Oui. Si tes données personnelles ont été compromises suite à une négligence avérée, tu peux déposer plainte et potentiellement demander réparation. Des actions collectives émergent aussi après les gros incidents.
Alexi Tauzin🛡️ Éditeur & Expert Cyber
Spécialiste en cybersécurité et protection des données. Suit de près l’actualité des violations en France et les actions de la CNIL.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
