Avec 40,3 millions de comptes compromis et 5 840 déclarations de violations enregistrées par la CNIL, l’année 2025 a été marquée par une explosion sans précédent des incidents de sécurité touchant les données personnelles en France. Une situation qui a conduit l’autorité de contrôle à durcir significativement sa politique de sanctions en début d’année 2026.
Un bilan 2025 alarmant
Les chiffres parlent d’eux-mêmes. Le nombre de déclarations de violations de données personnelles a augmenté de 47 % par rapport à 2024. Au premier trimestre 2025, plus de 2 500 violations avaient déjà été signalées, soit près de la moitié du volume total enregistré sur l’ensemble de l’année 2024.
La France se situe au second rang mondial des pays les plus touchés par les fuites de données en 2025. Plus préoccupant encore, en rapportant le nombre de compromissions à la population, la France prend la tête du classement avec une densité de violations 12 fois supérieure à la moyenne mondiale.
Au dernier trimestre 2025, les cybercriminels ont dérobé près de dix millions de comptes supplémentaires, portant le total annuel à 40,3 millions. Derrière ces chiffres, ce sont des millions de personnes dont les données personnelles (identité, coordonnées, données bancaires, numéros de sécurité sociale) se retrouvent exposées sur des marchés criminels en ligne.
Les affaires majeures qui ont marqué la période
Free Mobile et Free ont fait l’objet de sanctions retentissantes. Le 13 janvier 2026, la CNIL a prononcé des amendes de 27 millions d’euros pour Free Mobile et 15 millions d’euros pour Free, soit un total de 42 millions d’euros. Ces sanctions font suite à une intrusion survenue en octobre 2024, au cours de laquelle un attaquant a exploité un compte d’un agent habilité pour extraire les données de 24 millions de contrats d’abonnés. La CNIL a relevé que les mesures de sécurité en place étaient insuffisantes, notamment l’absence de système de détection des extractions massives de données et le manque de robustesse des mots de passe.
France Travail a été sanctionné le 22 janvier 2026 à hauteur de 5 millions d’euros. L’établissement public n’avait pas mis en oeuvre les mesures de sécurité nécessaires pour protéger les données des personnes en recherche d’emploi. La violation avait touché une base de données contenant les informations de millions de demandeurs d’emploi.
Le 30 décembre 2025, une société a écopé de 3,5 millions d’euros d’amende pour avoir transmis les données de membres de son programme de fidélité à un réseau social, sans disposer d’une base légale valable ni avoir informé les personnes concernées de manière adéquate.
Les enseignements de ces violations
L’analyse des grandes violations de 2025 révèle des schémas récurrents. Dans la majorité des cas, les failles exploitées ne sont pas des attaques sophistiquées de type « zero-day », mais des manquements fondamentaux à l’hygiène de sécurité informatique.
Les causes les plus fréquentes incluent : des mots de passe insuffisamment robustes ou non renouvelés, l’absence de double authentification pour les accès sensibles, le défaut de surveillance des accès et de détection des comportements anormaux, des mises à jour de sécurité non appliquées dans les délais, et une gestion insuffisante des habilitations des prestataires et sous-traitants.
De nouvelles exigences de la CNIL pour 2026
Face à cette situation, la CNIL a renforcé ses exigences. Elle impose désormais aux organismes détenant des bases de données de plus de 2 millions de personnes de mettre en place un système de double authentification obligatoire pour tous les accès distants, qu’il s’agisse de salariés, de prestataires ou de sous-traitants.
Les décisions rendues entre novembre 2025 et février 2026 marquent un changement de cap clair. Il ne s’agit plus seulement d’accompagner les acteurs vers la conformité, mais d’exiger une conformité effective, structurée et démontrable. Les organismes doivent pouvoir prouver qu’ils ont mis en oeuvre des mesures techniques et organisationnelles adaptées aux risques, et pas seulement rédigé des politiques de sécurité.
Que faire concrètement ?
Pour les responsables de traitement et les DPO, les enseignements sont clairs. Il est impératif de procéder à un audit régulier des mesures de sécurité en place, en priorisant les bases de données les plus sensibles. La mise en oeuvre de la double authentification, la revue des habilitations et la mise en place de systèmes de détection des comportements anormaux ne sont plus des recommandations mais des obligations de fait.
En cas de violation, le délai de 72 heures pour notifier la CNIL reste en vigueur. Mais au-delà de la notification, c’est la capacité de l’organisme à démontrer qu’il avait pris des mesures préventives proportionnées qui fera la différence entre une sanction lourde et une décision plus clémente.
À l’heure où les cybermenaces ne cessent de s’intensifier, la protection des données personnelles est plus que jamais un enjeu stratégique, tant sur le plan réglementaire que réputationnel.
- Synthèse et Comparaison des Analyses 2020 à 2023 (juin) sur les Violations de Données Personnelles déclarées en france
- Affaire Cegedim / MLM : anatomie de la plus grave violation de données médicales jamais documentée en France
- Cegedim : anatomie de la plus grave fuite de données médicales jamais documentée en France
