Rapport CNIL 2025 : 6 167 violations de données, 487 M€ d’amendes
La CNIL a publié son rapport annuel 2025 le 18 mai 2026, et les chiffres sont sans appel : 6 167 violations de données, 487 millions d’euros d’amendes et 20 150 plaintes reçues. Jamais l’autorité française n’avait enregistré autant d’incidents en une seule année.
6 167 violations : Record absolu (+9,5 % vs 2024, +50 % vs 2022).
487 M€ d’amendes : Contre 55,2 M€ en 2024. Un bond x9 porté par la procédure simplifiée.
20 150 plaintes : Hausse de 10 % en un an, dont 1 900 liées à des violations de données.
323 contrôles, 83 sanctions : La CNIL multiplie les actions répressives.
Objectif 2026 : 50 % des contrôles seront consacrés à la cybersécurité, une rupture stratégique.
487 millions d’euros d’amendes : ce qui explique le record
Le montant total des amendes prononcées en 2025 atteint 487 millions d’euros, un niveau jamais vu dans l’histoire de la CNIL. Mais ce chiffre appelle une nuance importante : il est porté par deux sanctions massives qui expliquent l’essentiel du total.
Free Mobile & Free : 42 millions d’euros cumulés pour des violations de données insuffisamment sécurisées.
France Travail : 5 millions d’euros pour des manquements à la sécurité des données personnelles.
Mobius Solutions : 1 million d’euros. Ce cas est emblématique : la CNIL sanctionne désormais les prestataires autant que les responsables de traitement.
La montée en puissance de la procédure simplifiée (créée en 2022) explique également ce bond. Cette procédure permet à la CNIL de sanctionner plus rapidement les manquements moins complexes, touchant des PME, indépendants et associations.
Indicateur
2025
Évolution
Violations de données
6 167
+9,5 % vs 2024
Plaintes reçues
20 150
+10 % vs 2024
Contrôles
323
Soutenu
Sanctions
83
En hausse
Amendes totales
487 M€
x9 vs 55,2 M€ (2024)
Un piratage sur deux : la cybersécurité au coeur des violations
Sur les 6 167 violations notifiées à la CNIL en 2025, un incident sur deux relève d’un piratage informatique. C’est la nature d’incident la plus fréquente, devant les erreurs humaines (envoi au mauvais destinataire, perte de matériel).
Les secteurs les plus touchés sont clairs :
Administration publique : 20 % des violations notifiées (contre 11 % en 2023).
Santé : Données sensibles par nature, très recherchées par les attaquants.
Activités financières : Données bancaires et d’assurance, à haute valeur marchande.
Marie-Laure Denis, présidente de la CNIL, tire trois enseignements de ces chiffres :
Personne n’est épargné : PME, associations, collectivités et grands groupes sont tous concernés.
Les violations sont de plus en plus massives : Multiplication des incidents touchant plus d’un million de personnes.
Les prestataires sont de plus en plus impliqués : Hébergeurs, éditeurs de logiciels, agences web dont les systèmes de sécurité sont insuffisants.
🔴 Ce qui a explosé en 2025
Amendes : 487 M€ (x9 vs 2024), portées par Free (42M€) et la procédure simplifiée.
Violations : 6 167, un record absolu depuis la création du registre.
Plaintes : 20 150, dont 1 900 directement liées à des fuites de données.
Secteur public : 20 % des violations, en forte hausse depuis 2023 (11 %).
✅ Ce qui reste stable
Contrôles : 323 inspections, un niveau soutenu mais sans augmentation brutale.
Taux de notification : La CNIL estime que 50 % des incidents ne sont toujours pas déclarés.
Erreurs humaines : Toujours la deuxième cause de violations, stable dans le temps.
2026 : la CNIL consacrera 50 % de son action à la cybersécurité
C’est une rupture stratégique majeure. En 2026, la moitié des contrôles et des actions répressives de la CNIL porteront sur la cybersécurité. Les années précédentes, ce sujet ne représentait qu’un quart à un tiers des contrôles.
La CNIL cible prioritaires :
Les bases de données de plus d’un million de personnes : MFA obligatoire pour ces bases.
Les organismes ayant subi une violation : Contrôles systématiques après incident.
Les entités manipulant des données sensibles : Santé, banque, localisation.
Les prestataires techniques : Hébergeurs, éditeurs, agences web qui traitent des données pour des tiers.
La CNIL travaille en parallèle avec l’ANSSI et le parquet « cyber » de Paris pour les suites pénales dans les cas les plus graves. Le message est clair : la négligence en matière de sécurité des données aura des conséquences financières et pénales.
⚠️ Vigilance : Le MFA deviendra obligatoire pour les grandes bases de données
La CNIL annonce que toutes les bases de données de plus d’un million de personnes devront être soumises à l’authentification multifacteur. Les organisations qui n’ont pas encore déployé le MFA devraient le faire avant les premiers contrôles de 2026.
Pour les particuliers : le MFA est déjà une pratique recommandée. Ne pas l’activer sur vos comptes sensibles (email, banque) est désormais une négligence évitable.
Les grandes fuites de 2025-2026 qui ont marqué le bilan
Ce record de 6 167 violations n’est pas qu’un chiffre abstrait. Derrière, il y a des incidents concrets qui ont touché des millions de Français :
🔍 Les fuites majeures de la période
Free / Free Mobile42 M€ d’amende
Violations de données insuffisamment sécurisées. L’une des deux sanctions majeures expliquant le record d’amendes 2025.
France Travail5 M€ d’amende
Manquements à la sécurité des données personnelles de millions de demandeurs d’emploi.
Almerys~19M de dossiers
Fuite de données de santé massives via l’intermédiaire Almerys (ex-Cerballiance). L’une des plus grandes fuites santé en France.
Belambra, Gîtes de France, Alan, CRIT, CARMFMulti-victimes 2026
Série de cyberattaques début 2026 touchant le tourisme, la santé et les caisses de retraite. Le modèle d’attaque se réplique.
Que faire en tant que particulier ou entreprise ?
Face à cette vague, la CNIL martele un message : des solutions techniques existent et doivent être généralisées. Voici ce que vous pouvez faire :
Pour les particuliers :
Activez le MFA sur tous vos comptes sensibles (email, banque, réseaux sociaux).
Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) pour générer des mots de passe uniques.
Méfiez-vous des e-mails et SMS frauduleux : ne cliquez jamais sur un lien suspect.
Déployez le MFA sur toutes les bases de plus d’un million de personnes.
Notifiez les violations sous 72 heures : le RGPD l’impose, et la CNIL sanctionne les retards.
Sécurisez vos prestataires : vous êtes responsable des données que vous confiez à des tiers.
Détectez proactivement : ne découvrez pas une fuite parce que vos données sont en vente sur le dark web.
Questions fréquentes
Pourquoi les amendes ont-elles explosé en 2025 ? ▼
Le bond de 55,2 à 487 M€ s’explique par deux facteurs : les sanctions record contre Free (42 M€) et la montée en puissance de la procédure simplifiée, créée en 2022, qui permet de sanctionner plus rapidement des manquements moins complexes.
Quel délai pour notifier une fuite à la CNIL ? ▼
Le RGPD impose une notification dans les 72 heures après avoir pris connaissance de la violation. La CNIL sanctionne les retards de notification comme un manquement distinct.
Qu’est-ce que la procédure simplifiée de la CNIL ? ▼
Créée en 2022, cette procédure permet à la CNIL de sanctionner plus rapidement les manquements moins complexes. Elle touche PME, indépendants et associations. En 2025, elle a contribué significativement au record d’amendes.
Le MFA sera-t-il obligatoire pour toutes les entreprises ? ▼
La CNIL annonce que les bases de données de plus d’un million de personnes devront être soumises au MFA. Cette mesure vise en priorité l’État et les grandes entreprises. Pour les PME, c’est une recommandation forte qui pourrait devenir obligatoire.
2026 sera-t-elle pire que 2025 ? ▼
Les signaux sont inquiétants : 2 730 violations au seul premier trimestre 2026, contre 2 500 sur le même période en 2025. La CNIL annonce que 2026 sera une « autre année record » et demande une hausse de ses moyens.
Quiz : Connaissez-vous vos droits face aux fuites de données ?
🧠 Testez vos connaissances sur le RGPD et la CNIL
1. Combien de violations de données la CNIL a-t-elle enregistrées en 2025 ?
2. Quel délai avez-vous pour notifier une fuite de données à la CNIL ?
3. Quelle mesure gratuite bloque la majorité des attaques par vol de mot de passe ?
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
