2025 a été marquée pour la Commission Nationale de l’Informatique et des Libertés par une hausse très importante des plaintes reçues, un montant total d’amendes inédit, mais aussi un record de notifications de violations de données.
La cybersécurité au cœur des préoccupations de la CNIL
Parmi les 6 167 violations de données notifiées à la CNIL en 2025 (+9,5%), 1 incident sur 2 déclaré relève d’un piratage, qui demeure la nature d’incident la plus fréquente. Les violations de données peuvent aussi provenir de l’envoi de données personnelles à un mauvais destinataire ou de la perte de matériel.
Les manquements en matière de cybersécurité constituent un tiers des contrôles et des sanctions. C’est d’ailleurs une année record en terme d’amendes avec plus de 486 M€ collectés pour le compte du Trésor Public. Si le nombre de sanctions est resté plutôt stable à 83 (87 en 2024), le Trésor peut remercier notamment deux acteurs pour leur généreuse contribution :
- Google, sanctionné à hauteur de 325 M€ pour imposer ses mouchards publicitaires sans consentement
- Shein, sanctionné pour un montant de 150 M€, également pour non respect de la réglementation pour ses traqueurs publicitaires
Trois enseignements peuvent être tirés des notifications de violations de données faites à la CNIL en 2025 : 1/ personne n’est épargné ; 2/ les violations sont de plus en plus massives ; 3/ elles impliquent souvent des prestataires.
Marie-Laure Denis, présidente de la CNIL
Les violations de données atteignent un niveau exceptionnel
En 2025, la CNIL a été notifiée de 17 802 violations de données personnelles, contre… 5 630 en 2024. Ce chiffre exceptionnel s’explique notamment par des attaques qui ont touché deux éditeurs de solutions, l’un pour les professionnels du conseil patrimonial (i.e Le rapport ne le mentionne pas mais très vraisemblablement Harvest), l’autre pour les professionnels de santé libéraux. À elles seules, ces deux violations ont entraîné un volume inédit de notifications (11 635) de la part des entreprises clientes, en tant que responsables de traitement, quand bien même il s’agit à l’origine du même incident (la CNIL a décidé de ne pas inclure ces deux incidents dans son rapport chiffré pour ne pas impacter la tendance. Choix étonnant selon moi).
Des tendances qui se confirment : piratage, phishing et vol massif
- Comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée (50 % en 2025). Cela recouvre le vol de données (depuis un compte utilisateur légitime), le « rançongiciel », l’hameçonnage, le bourrage d’identifiants à partir de couples identifiant/mot de passe volés (credential stuffing), etc. Viennent ensuite l’envoi de données personnelles à un mauvais destinataire (13 %), le vol ou la perte de matériel et de données (7 %) et la publication non intentionnelle d’informations (7 %).
- Certaines attaques relèvent de campagnes ciblées. 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM et par une autre ciblant les fédérations sportives.
- Les violations de données susceptibles de concerner plus d’un million de personnes restent importantes. Il y en a eu une quarantaine en 2025 (une trentaine en 2024)