Rapport annuel 2025 de la CNIL : un contrôle qui s’intensifie, des priorités à anticiper pour 2026

Jeannie Mongouachon
Jeannie Mongouachon
Associée
Juliette Lobstein
Juliette Lobstein
Collaboratrice

Nous contacter

Sommaire
Heading 2

La CNIL a publié son rapport annuel le 18 mai 2026.  

Le message est sans ambiguïté : le contrôle s’intensifie, les sanctions atteignent un niveau inédit, et la sécurité des données s’impose comme la priorité dominante de la régulation.

Nous proposons ci-dessous une lecture sélective de ce bilan, centrée sur les enseignements principaux, et les actions prioritaires pour 2026.

Un bilan 2025 marqué par trois records

L’année 2025 se lit en trois records : le nombre de plaintes, le montant des amendes et le nombre de notifications de violations de données.

La CNIL a reçu un nombre record de plaintes, plus de 20 000, soit une hausse d’environ 10 % sur un an, portant principalement sur les traitements liés au travail, au commerce, à l’immobilier et aux réseaux sociaux.  

Le montant cumulé des amendes atteint près de 487 millions d’euros, contre 55 millions en 2024 ; un quasi-décuplement qui s’explique pour l’essentiel par deux décisions.  

En données brutes, la CNIL a reçu 17 802 notifications de violations de données personnelles, mais a volontairement écarté deux incidents massifs touchant deux éditeurs de solutions (l’un en conseil patrimonial, l’autre en santé libérale) qui avaient à eux seuls généré plus de 11 600 notifications de la part de leurs clients responsables de traitement. Le chiffre retenu est donc de 6 167 violations, soit une hausse de 9,5 % en 2025.  

La CNIL confirme une tendance : le piratage demeure la première cause (la moitié des cas), devant l’envoi de données à un mauvais destinataire, le vol ou la perte de matériel, et la publication non intentionnelle d’informations.

Un nombre de sanctions stable mais un niveau inédit de 487 millions d’euros

Deux décisions prononcées le 1er septembre 2025, toutes deux relatives au non-respect des règles sur les cookies, concentrent l’essentiel du montant total : 325 millions d’euros à l’encontre de Google et 150 millions à l’encontre de Shein. Dans les deux cas, la CNIL a relevé le dépôt de traceurs publicitaires (et l’affichage d’annonces publicitaires pour Google) sans recueil valable du consentement et un défaut d’information des utilisateurs.  

Au-delà de ces deux affaires, le rapport souligne que les sanctions visent des entreprises de toutes tailles et de tous secteurs : aucune structure ne peut se considérer hors du champ d’intervention de l’Autorité.  

Un élément renforce la portée de ces décisions : en 2025, le Conseil d’État a confirmé 97,5 % des décisions de la CNIL qui étaient contestées.

La sécurité des données et la sous-traitance au cœur des constats

La Présidente de la CNIL tire trois enseignements des notifications reçues, qui résument la doctrine de l’autorité : « personne n’est épargné ; les violations sont de plus en plus massives ; elles impliquent souvent un prestataire ».  

La chaîne de sous-traitance est ainsi explicitement désignée comme un maillon faible. Le rapport rappelle d’ailleurs les obligations propres aux sous-traitants : mise en œuvre de mesures de sécurité adéquates, traitement sur la seule instruction du responsable, suppression des données en fin de relation contractuelle.

Les mesures attendues par la CNIL sont très concrètes :  

  • généraliser l’authentification multifacteur sur les accès externes (près de 80 % des violations majeures de 2024 venaient d’un compte protégé par un simple mot de passe),  
  • journaliser, analyser et fixer des limites sur les flux de données,  
  • sensibiliser régulièrement les utilisateurs, et  
  • encadrer contractuellement la sécurité chez les sous-traitants.

L’intelligence artificielle : le nouveau rôle pour la CNIL

2025 marque un tournant pour la CNIL en matière d’IA. Elle est désignée autorité de contrôle des usages d’IA interdits au titre du règlement européen et devrait, sous réserve de confirmation parlementaire, devenir autorité de surveillance du marché pour une large part des systèmes à haut risque, notamment dans les domaines de la biométrie, de l’emploi, de la migration, des usages répressifs et de l’éducation.

Pour accompagner les acteurs, la CNIL a finalisé treize fiches pratiques couvrant l’ensemble des étapes du développement d’un système d’IA, assorties d’une liste de vérifications, et a précisé les conditions de recours à l’intérêt légitime comme base légale. Les organisations qui développent ou déploient des solutions d’IA traitant des données personnelles doivent intégrer ces référentiels dès maintenant dans leur gouvernance et leurs analyses d’impact, à l’articulation du RGPD et du règlement IA.

Les priorités de la CNIL pour 2026

La cybersécurité est érigée en priorité absolue : dans le communiqué accompagnant la publication du rapport, la CNIL annonce qu’elle consacrera, en 2026, la moitié de ses contrôles à la sécurité des données, sur le fondement de l’article 32 du RGPD, articulé avec la directive NIS2 pour les secteurs critiques.

Elle agira en lien avec l’ANSSI et, pour les suites pénales, avec le parquet « cyber » de Paris. Les contrôles viseront en priorité les organismes concernés par une violation ou des plaintes, ainsi que les secteurs traitant massivement des données, y compris sensibles ou hautement personnelles.

À cette priorité transversale s’ajoutent les thématiques de contrôle sectorielles annoncées le 3 avril pour 2026, qui dessinent les zones de risque à surveiller :

  • Le recrutement : la CNIL ciblera prioritairement les grandes entreprises et les cabinets de recrutement, en vérifiant les systèmes de prise de décision automatisée, l’information des candidats et les durées de conservation. Le référentiel sur les durées de conservation des données RH, publié en avril 2026, fournit une grille utile d’anticipation.
  • Le répertoire électoral unique, dont les usages et d’éventuels détournements seront examinés.
  • Les fédérations et clubs sportifs, qui traitent d’importants volumes de données, dont des données de santé et des données de mineurs, et ont été particulièrement exposés aux attaques informatiques.
  • La transparence de l’information : la CNIL et ses homologues européens vont procéder à des vérifications sur la transparence et l’exhaustivité de l’information apportée aux personnes concernées. Ces travaux seront coordonnés avec le Comité européen de la protection des données (CEPD).  

Pour toute question ou besoin d’accompagnement, n’hésitez pas à contacter notre équipe IT/Data !  

Jeannie Mongouachon, avocate associée et Juliette Lobstein, avocate collaboratrice chez Squair

Lire l'article
Ecouter l'épisode
Lire le communiqué
Voir la vidéo
En savoir plus
2 juin 2026
Say, hi !
Cta Arrow
Saturday - Thursday :
8:30 am - 10:45 pm
Call for an appointment

hello@libertylaw.com

Brand logo

© 2024

Squair

Pages
Accueil
Activités
Équipe
International 
Actualités
Contact
Informations Légales
Mentions Légales
Conditions générales d'utilisation
Politique de confidentialité