Violations de données : « 50 % de plus en trois ans »

Marie-Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés (Cnil), a annoncé lundi une augmentation des contrôles face à l’explosion du nombre de violations de données, qui ont atteint un record en 2025 avec 6.167 notifications, soit 9,5 % de plus qu’en 2024. En 2025, l’institution a prononcé 83 sanctions pour un total de 486,8 millions d’euros, contre 87 sanctions et 55,2 millions d’euros d’amendes en 2024.

« Personne n’est épargné ». Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (Cnil), a déclaré lundi qu’il y aurait une augmentation des contrôles en raison de l’augmentation du nombre de violations de données signalées en France. En 2025, ces violations ont atteint un chiffre record de 6.167 notifications, soit une augmentation de 9,5 % par rapport à 2024, représentant le niveau le plus élevé jamais enregistré. La tendance se poursuit, avec plus de 2.730 violations constatées par l’autorité au premier trimestre 2026, contre 2.500 au cours de la même période en 2025.

« C’est 50 % de plus sur ces trois dernières années », a affirmé la présidente de la Cnil, qui a exprimé ses préoccupations quant à la protection insuffisante de certains organismes, institutions et entreprises. « Les violations deviennent de plus en plus massives » et impliquent souvent des prestataires, qui sont souvent « de taille plus modeste » et disposent de systèmes de sécurité parfois moins efficaces, détaille la commission dans un rapport.

Attaques « rentables »

La moitié de ces fuites de données est liée à des piratages et touche particulièrement des secteurs tels que l’administration publique, la santé et les activités financières. « Ces attaques sont rentables, car les données ont de la valeur, notamment les données de santé », a précisé Marie-Laure Denis. Par ailleurs, « le développement de l’intelligence artificielle automatise, industrialise et démocratise les attaques » tout en « permettant de les personnaliser en recoupant les données ».

Pour tenter d’inverser la tendance, « les contrôles de la Cnil et les éventuelles conséquences répressives liées à la cybersécurité vont se renforcer en 2026 », a averti l’organisme. Ces contrôles cibleront notamment les organismes ayant subi une violation, ceux faisant l’objet de plaintes ou appartenant à des secteurs traitant massivement des données. Une attention particulière sera accordée aux grandes bases de données, qui concernent plus d’un million de personnes et qui ont été le sujet d’une quarantaine de violations en 2025, soit dix de plus que l’année précédente.

83 sanctions en 2025

L’institution a également imposé un montant record d’environ 487 millions d’euros d’amendes l’an dernier, en grande partie en raison de deux sanctions importantes à l’encontre de Google et Shein. Elle a prononcé 83 sanctions en 2025 pour un total de 486,8 millions d’euros, comparativement à 87 sanctions pour 55,2 millions d’euros en 2024.

Elle a également placé l’IA générative, qui s’appuie sur l’exploitation massive de données souvent personnelles, au centre de ses préoccupations. Face à la rapide évolution des agents IA, des outils basés sur l’intelligence artificielle capables d’effectuer des tâches en ligne, « il existe un enjeu concernant l’exploitation et la sécurisation des données personnelles qui est plus important », a estimé Marie-Laure Denis. Ce sujet sera discuté fin juin à Paris lors d’une table ronde des autorités de protection des données des pays du G7, organisée par la Cnil.

« Bonne hygiène numérique »

Ces derniers mois, les fuites de données significatives se sont multipliées, touchant aussi bien des fédérations sportives que des opérateurs de téléphonie, comme Free, ou des chaînes d’hôtels telles que Logis Hôtels France ou Brit Hotel. Mi-avril, l’Agence nationale des titres sécurisés (ANTS), responsable des demandes de pièces d’identité, a été victime d’une cyberattaque massive, touchant les données de près de 12 millions de particuliers et de professionnels.

« Ce qu’il faut absolument éviter, c’est un sentiment de résignation », a insisté Marie-Laure Denis, appelant à la vigilance des utilisateurs et à une « bonne hygiène numérique » : ne pas cliquer sur les liens suspects, adopter des mots de passe robustes, etc. « Bien souvent, les personnes ne font pas de lien direct entre une violation de données […] et les conséquences que cela a pour elles, car la compromission de leurs données » peut survenir « plusieurs semaines plus tard », a rappelé la présidente de la Cnil.