20/05
Les fuites de données explosent en France : la Cnil annonce un tour de vis
Plus de contrôles, amendes plus lourdes… la Cnil hausse le ton face à l’explosion des fuites de données.
Les cyberattaques et les fuites de données continuent de battre des records en France. Face à cette vague qui touche aussi bien les entreprises privées que les services publics, la Cnil veut désormais durcir sa réponse. Le régulateur français promet davantage de contrôles, des sanctions plus lourdes et une surveillance renforcée des organismes qui gèrent de grandes bases de données.
L’hémorragie ne ralentit pas. Depuis le début de l’année, les révélations de piratages se multiplient : Agence nationale des titres sécurisés, Pierre & Vacances-Center Parcs, Cegedim Santé, ÉduConnect, fichier national des comptes bancaires, groupes hôteliers ou encore fédérations sportives… Aucun secteur ne semble épargné.
Selon le rapport annuel publié par la Cnil, 2 730 violations de données ont déjà été signalées sur les trois premiers mois de 2026, contre 2 500 sur la même période un an plus tôt. Et 2025 avait déjà marqué un record historique avec 6 167 violations déclarées. Mais ces chiffres ne racontent qu’une partie de l’histoire. Les attaques contre les éditeurs Weda et Harvest ont provoqué à elles seules plus de 11 600 notifications supplémentaires, touchant indirectement de nombreuses entreprises clientes. Au total, la Cnil estime donc avoir reçu 17 802 notifications de violations de données en 2025, contre 5 630 en 2024.
« Personne n’est épargné », résume Marie-Laure Denis, présidente de la Cnil. Selon elle, les cyberattaques sont devenues plus massives et visent désormais de plus en plus souvent des prestataires techniques, jugés plus vulnérables par les pirates. Pour les cybercriminels, ces attaques sont devenues extrêmement rentables. Les données personnelles, et notamment les données de santé, ont une forte valeur sur les marchés clandestins.
L’intelligence artificielle change également la donne. Elle permet aux attaquants d’automatiser les campagnes de phishing, de rendre les arnaques plus crédibles et de recouper plus facilement des informations volées pour préparer de nouvelles attaques. Conséquence : les effets des fuites dépassent désormais le simple cadre numérique. Après le piratage de la Fédération française de tir, certaines données personnelles de licenciés auraient par exemple été utilisées pour cibler des cambriolages. Des individus ont également tenté de se faire passer pour de faux policiers afin de récupérer des armes. « Ce n’est pas massif, mais on s’interroge sur cette sous-traitance criminelle qui commence à devenir plus régulière », explique Nicolas Eslous, directeur expertise cybersécurité de Cybermalveillance.gouv.fr.
La Cnil veut passer à la vitesse supérieure
Face à cette situation, la Cnil estime que la pédagogie ne suffit plus. Le régulateur français veut désormais adopter une ligne beaucoup plus ferme. En 2026, 50 % des contrôles de la Cnil porteront sur la cybersécurité, contre 30 % l’année précédente. Les grandes bases de données, publiques comme privées, seront particulièrement surveillées. Le message est clair : les entreprises qui négligent la protection des données devront s’attendre à des sanctions plus importantes.
Le précédent Free reste dans toutes les têtes. En janvier dernier, la Cnil avait infligé une amende record de 27 millions d’euros à Free Mobile et de 15 millions d’euros à Free après un piratage ayant touché plus de 24 millions de contrats. Iliad avait dénoncé une « sévérité inédite », mais la Cnil avait justifié cette sanction par l’ampleur exceptionnelle des conséquences potentielles.
Les futures sanctions pourraient encore grimper. En théorie, les amendes peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. « De nombreuses procédures sont en cours », indique Victor Nicolle, directeur des contrôles et des sanctions de la Cnil, notamment contre des collectivités territoriales et des organismes manipulant d’importants volumes de données.
Pour la Cnil, le problème reste avant tout un manque d’“hygiène numérique” dans de nombreuses structures. Failles de sécurité connues, protections insuffisantes ou mauvaises pratiques internes restent très fréquentes. Le régulateur estime cependant que la peur des sanctions fonctionne. Selon Victor Nicolle, les précédentes campagnes de contrôle sur les cookies publicitaires ou les protocoles HTTPS ont déjà poussé de nombreux acteurs à se mettre en conformité.
Cette pression réglementaire devrait encore augmenter avec la future transposition française de la directive européenne NIS 2. Ce texte, attendu depuis plus d’un an au Parlement dans le cadre du projet de loi Résilience, doit renforcer les obligations de cybersécurité d’environ 15 000 entreprises françaises supplémentaires. Reste une question : la Cnil aura-t-elle les moyens de suivre ? En 2025, l’autorité comptait seulement 303 agents pour surveiller un nombre de violations qui explose année après année.
Source : Le Figaro