Violations de données : la CNIL tire la sonnette d'alarme, et nous avec

Il y a deux semaines, un dirigeant m’a appelé en panique. Un de ses prestataires venait de subir une cyberattaque. Ses fichiers clients, qu’il croyait bien protégés chez un éditeur SaaS « certifié », étaient dans la nature. Première question qu’il m’a posée : « Bon, c’est leur problème, non ? » Eh bien, non. C’est aussi le sien. Et c’est précisément l’un des grands enseignements du rapport annuel publié par la CNIL ce 18 mai : les fuites de données explosent, et la chaîne de sous-traitance est presque toujours dans l’équation.

6 167 notifications de violación de datos enregistrées en 2025. Un record. 9,5 % de plus qu’en 2024, et le premier trimestre 2026 prend déjà la même pente avec 2 730 incidents. Derrière ces chiffres, des millions de Français concernés, des entreprises ébranlées, et un message limpide de Marie-Laure Denis, présidente de la CNIL : la cybersécurité de l’État comme celle des entreprises est « très loin d’être satisfaisante ».

En synthèse

  • Record absolu de violaciones de datos en France en 2025 : 6 167 notifications, +9,5 % sur un an, et le premier trimestre 2026 confirme la tendance.
  • EL fuites de données sont de plus en plus massives, l’administration publique en tête, et impliquent très souvent un prestataire.
  • L’évaluation et l’encadrement contractuel du Subcontratista del RGPD sont devenus une obligation de premier plan : un DPA conforme, des audits et un suivi sont la base.
  • L’authentification multifacteur (MFA) est désormais la mesure que la CNIL attend par défaut. En 2026, 50 % de ses contrôles porteront sur la cybersécurité.
  • Une procédure de notification de violation testée, la mise à jour du registro de actividades de procesamiento et la réalisation des AIPD font la différence le jour J.
  • La conformité ne se prouve pas par des intentions, mais par des documents : c’est ça, l’accountability.

Ce que dit (vraiment) le rapport annuel de la CNIL

Des violations « de plus en plus massives »

Le rapport ne se contente pas de compter. Il dresse un portrait. Une quarantaine d’incidents en 2025 ont touché chacun plus d’un million de personnes — dix de plus qu’en 2024. L’administration publique caracole en tête avec 19 % des signalements, suivie par la santé, l’action sociale, puis les activités financières et d’assurance. Et encore : ce bilan ne tient pas compte des cyberattaques contre les logiciels Weda et Harvest, qui ont à elles seules généré plus de 11 600 notifications de clients. Un seul incident en amont, des milliers d’entreprises en aval. Tout est dit.

Trois enseignements qu’il faut s’approprier

Allá CNIL retient trois constats que tout dirigeant devrait écrire en gros sur le tableau du Comex. Premièrement : personne n’est épargné. Fédérations sportives, chaînes d’hôtels, mutuelles, collectivités, PME comme grands groupes — la menace n’a plus de profil type. Deuxièmement : les fuites de données concernent des volumes de plus en plus considérables. Troisièmement, et c’est là que le sujet rejoint nos précédents articles : ces incidents impliquent souvent des prestataires. Le Subcontratista del RGPD est devenu le maillon le plus exposé.

La méthode des attaquants se banalise

Le piratage représente la moitié des signalements. Derrière ce mot, on trouve toute une panoplie : rançongiciel, phishing, credential stuffing, vol de comptes utilisateurs légitimes. À côté, 13 % des incidents viennent d’un mauvais destinataire en copie d’un e-mail, 7 % d’une perte de matériel, 7 % d’une publication accidentelle. Bref, l’erreur humaine reste un facteur considérable. Et puis il y a l’IA générative, qui « automatise, industrialise et démocratise » les attaques, selon les mots mêmes de la présidente de la CNIL. L’affaire ANTS, où un mineur de 15 ans — « pas un prodige », a précisé la procureure — est mis en cause après le piratage de l’agence des titres sécurisés, en est la démonstration glaçante.

Pourquoi vos sous-traitants sont (encore) au cœur du problème

Quand un prestataire tombe, ses clients tombent avec lui

Reprenons l’histoire des logiciels Weda et Harvest. Ce sont deux cyberattaques, mais l’autorité a reçu 11 600 notifications. Parce qu’à chaque fois, derrière l’éditeur, ce sont des centaines de cabinets médicaux, des centaines de conseillers patrimoniaux, qui sont eux aussi controlador de datos et doivent déclarer la fuite à leurs propres clients. C’est exactement le scénario du sous-traitant Mobius / Deezer que la CNIL a sanctionné d’un million d’euros fin 2025 — sauf qu’ici, la facture se démultiplie. Une attaque, mille victimes professionnelles, des millions de personnes concernées.

L’évaluation préalable : votre meilleure (et seule) protection

Le RGPD ne laisse aucune place au doute : un controlador de datos « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes ». Cette obligation, posée par l’article 28 paragraphe 1, n’est pas un vœu pieux. C’est ce que les contrôleurs viendront chercher. Concrètement, avez-vous un questionnaire d’évaluation envoyé à chaque prestataire ? Demandez-vous leur politique de sécurité, leur registro de actividades de procesamiento, le nom de leur OPD, leurs certifications ? Avez-vous identifié vos transferencias de datos hors UE ? Si la réponse à l’une de ces questions est « heu », vous avez votre première priorité opérationnelle.

Le contrat ne suffit pas, l’audit non plus, mais les deux ensemble oui

A Acuerdo de subcontratación del RGPD bien rédigé — c’est-à-dire un DPA reprenant les huit clauses obligatoires de l’article 28 §3 — est le point de départ. Pas l’arrivée. Il faut aussi piloter dans la durée : audits annuels, revue des sous-traitants ultérieurs, contrôle des mesures techniques et organisationnelles effectivement appliquées. Pour structurer cette démarche, le Módulo de subcontratistas de Viqtor centralise évaluations, contrats, audits et historique des échanges dans un référentiel unique. C’est le genre de preuve qu’un contrôleur CNIL adore voir.

Vos contrats et évaluations de sous-traitants sont-ils à jour ? Faites le point avec un expert Viqtor

Ce que l’État fait — et ce que vous devriez faire dans la foulée

200 millions d’euros et une nouvelle autorité numérique

Fin avril, le Premier ministre Sébastien Lecornu a dégainé : 200 millions d’euros pour renforcer la cybersécurité de l’État, fusion de la direction interministérielle du numérique et de celle de la transformation publique pour créer une autorité numérique placée auprès de Matignon. Dans la foulée, l’ANSSI a publié de nouvelles consignes pour les ministères : chacun doit désigner un conseiller cybersécurité. Ce n’est pas anodin. Quand l’État se réorganise à ce niveau, c’est qu’il considère que la maison brûle. Or, dans la chaîne, les administrations sous-traitent énormément — et chaque prestataire est un point d’entrée possible.

Authentification multifacteur : la mesure qui aurait évité bien des drames

Allá CNIL martèle un message simple : la majorité des grandes attaques récentes auraient pu être évitées avec une authentification multifacteur correctement déployée. Le MFA, c’est ce double facteur qui rend inopérante une bonne partie des techniques de credential stuffing et de phishing. L’autorité a publié sa recommandation dès mars 2025, laissé un temps d’adaptation aux organismes, et annonce désormais des contrôles ciblés. En 2026, 50 % des actions répressives porteront sur la cybersécurité, contre un quart à un tiers en 2025. Pour les bases qui contiennent plus d’un million de personnes, les contrôles seront prioritaires.

Quelques chantiers concrets à ouvrir cette semaine

Sans surcharger les équipes, il y a quelques actions qui se posent rapidement et qui font une vraie différence en cas d’incident. Voici ce que je recommande à mes clients dirigeants quand ils me demandent par où commencer.

  • Activer le MFA sur tous les comptes à privilèges et sur les accès aux outils contenant des datos personales.
  • Mettre à jour la liste de vos sous-traitants, vérifier que chacun a un DPA signé, et identifier ceux qui réalisent des transferencias de datos hors UE.
  • Tester votre procédure de notification de violation : qui prévient qui ? Êtes-vous capable de remonter à la CNIL dans le délai légal de 72 heures ?
  • Documenter une AIPD (analyse d’impact) pour vos traitements à risque élevé — c’est l’autre point que la CNIL contrôle systématiquement.
  • Refaire un tour rapide de votre registro de actividades de procesamiento : il est rarement aussi à jour qu’on le croit.

Et après la fuite ? La gestion d’incident, là où tout se joue

Les 72 premières heures décident du reste

Quand un prestataire vous alerte, vous avez 72 heures pour notifier la CNIL si la fuite de données présente un risque pour les personnes. Pas trois semaines. Pas le temps de réunir un comité de pilotage. La procédure doit être prête, écrite, testée, et activable un dimanche soir. Notre page dédiée à la declaración sobre violación de datos détaille les étapes pour ne pas s’y prendre à l’envers.

Informer les personnes concernées, l’épreuve de vérité

Si la violation présente un risque élevé pour les droits et libertés des personnes, le RGPD impose en plus d’informer directement chacune d’elles. C’est souvent à ce moment que la communication de crise prend le pas sur le juridique. Mal géré, c’est la confiance qui s’effondre — Marie-Laure Denis parle même de « l’altération du lien de confiance entre l’État et les citoyens » à propos des fuites de l’administration. Pour une entreprise privée, c’est le client qui s’en va, et l’avocat qui arrive.

La sanction, et ce qu’elle dit sur la maturité de l’organisation

Allá CNIL ne sanctionne pas la fuite en soi : elle sanctionne les manquements qui l’ont rendue possible ou aggravée. Absence d’authentification multifacteur, registre lacunaire, contrats sous-traitants génériques, notification tardive, accountability inexistante. C’est là que se construit la défense — ou la condamnation. Pour fiabiliser tout cet édifice, notre Guía completa para las auditorías de cumplimiento del RGPD donne la méthodologie utilisée par nos consultants.

Preguntas frecuentes

Ya que controlador de datos, oui, vous restez juridiquement responsable du traitement, même si la fuite vient de votre sous-traitant. Vous devez analyser le risque, notifier la CNIL si nécessaire dans les 72 heures, et le cas échéant informer les personnes concernées. Votre contrat de sous-traitance RGPD doit prévoir comment le prestataire vous alerte et coopère.

Elle n’est pas inscrite noir sur blanc dans le RGPD, mais la CNIL la considère comme une mesure technique attendue pour tout accès à des datos personales sensibles ou à grande échelle. Sa recommandation de mars 2025 est explicite, et les contrôles 2026 viseront en priorité les organismes qui ne l’auraient pas déployée. En clair : ce n’est plus une option.

72 heures à compter de la prise de connaissance de l’incident, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Au-delà, une notification tardive doit être motivée. La déclaration se fait via le téléservice de la CNIL et doit décrire la nature de la violation, les catégories de données concernées et les mesures prises.

Cartographier les traitements et tenir un registro de actividades de procesamiento à jour, identifier et contractualiser correctement chaque sous-traitant via un DPA, déployer le MFA, écrire une procédure de notification de violation, et désigner un référent ou un OPD. Ces cinq chantiers couvrent l’essentiel des points de contrôle CNIL.

El'AIPD (analyse d’impact) est obligatoire pour les traitements présentant un risque élevé pour les droits et libertés : surveillance à grande échelle, données sensibles, profilage automatisé, etc. Elle documente les risques, les mesures pour les réduire, et démontre votre démarche d’accountability. C’est l’un des premiers documents que la CNIL demande en cas de contrôle.

Vous voulez transformer ces enseignements en plan d’action concret ?

Pour aller plus loin, retrouvez toutes nos ressources sur la gobernanza de datos et la conformité RGPD sur la Plataforma Viqtor.

es_ESES