Violations de données : la CNIL tire la sonnette d'alarme, et nous avec
Il y a deux semaines, un dirigeant m’a appelé en panique. Un de ses prestataires venait de subir une cyberattaque. Ses fichiers clients, qu’il croyait bien protégés chez un éditeur SaaS « certifié », étaient dans la nature. Première question qu’il m’a posée : « Bon, c’est leur problème, non ? » Eh bien, non. C’est aussi le sien. Et c’est précisément l’un des grands enseignements du rapport annuel publié par la CNIL ce 18 mai : les fuites de données explosent, et la chaîne de sous-traitance est presque toujours dans l’équation.
6 167 notifications de violazione dei dati enregistrées en 2025. Un record. 9,5 % de plus qu’en 2024, et le premier trimestre 2026 prend déjà la même pente avec 2 730 incidents. Derrière ces chiffres, des millions de Français concernés, des entreprises ébranlées, et un message limpide de Marie-Laure Denis, présidente de la CNIL : la cybersécurité de l’État comme celle des entreprises est « très loin d’être satisfaisante ».
En synthèse
- Record absolu de violazioni dei dati en France en 2025 : 6 167 notifications, +9,5 % sur un an, et le premier trimestre 2026 confirme la tendance.
- IL fuites de données sont de plus en plus massives, l’administration publique en tête, et impliquent très souvent un prestataire.
- L’évaluation et l’encadrement contractuel du subappaltatore GDPR sont devenus une obligation de premier plan : un DPA conforme, des audits et un suivi sont la base.
- L’authentification multifacteur (MFA) est désormais la mesure que la CNIL attend par défaut. En 2026, 50 % de ses contrôles porteront sur la cybersécurité.
- Une procédure de notification de violation testée, la mise à jour du registro delle attività di elaborazione et la réalisation des AIPD font la différence le jour J.
- La conformité ne se prouve pas par des intentions, mais par des documents : c’est ça, l’accountability.
Ce que dit (vraiment) le rapport annuel de la CNIL
Des violations « de plus en plus massives »
Le rapport ne se contente pas de compter. Il dresse un portrait. Une quarantaine d’incidents en 2025 ont touché chacun plus d’un million de personnes — dix de plus qu’en 2024. L’administration publique caracole en tête avec 19 % des signalements, suivie par la santé, l’action sociale, puis les activités financières et d’assurance. Et encore : ce bilan ne tient pas compte des cyberattaques contre les logiciels Weda et Harvest, qui ont à elles seules généré plus de 11 600 notifications de clients. Un seul incident en amont, des milliers d’entreprises en aval. Tout est dit.
Trois enseignements qu’il faut s’approprier
Là CNIL retient trois constats que tout dirigeant devrait écrire en gros sur le tableau du Comex. Premièrement : personne n’est épargné. Fédérations sportives, chaînes d’hôtels, mutuelles, collectivités, PME comme grands groupes — la menace n’a plus de profil type. Deuxièmement : les fuites de données concernent des volumes de plus en plus considérables. Troisièmement, et c’est là que le sujet rejoint nos précédents articles : ces incidents impliquent souvent des prestataires. Le subappaltatore GDPR est devenu le maillon le plus exposé.
La méthode des attaquants se banalise
Le piratage représente la moitié des signalements. Derrière ce mot, on trouve toute une panoplie : rançongiciel, phishing, credential stuffing, vol de comptes utilisateurs légitimes. À côté, 13 % des incidents viennent d’un mauvais destinataire en copie d’un e-mail, 7 % d’une perte de matériel, 7 % d’une publication accidentelle. Bref, l’erreur humaine reste un facteur considérable. Et puis il y a l’IA générative, qui « automatise, industrialise et démocratise » les attaques, selon les mots mêmes de la présidente de la CNIL. L’affaire ANTS, où un mineur de 15 ans — « pas un prodige », a précisé la procureure — est mis en cause après le piratage de l’agence des titres sécurisés, en est la démonstration glaçante.
Pourquoi vos sous-traitants sont (encore) au cœur du problème
Quand un prestataire tombe, ses clients tombent avec lui
Reprenons l’histoire des logiciels Weda et Harvest. Ce sont deux cyberattaques, mais l’autorité a reçu 11 600 notifications. Parce qu’à chaque fois, derrière l’éditeur, ce sont des centaines de cabinets médicaux, des centaines de conseillers patrimoniaux, qui sont eux aussi controller dati et doivent déclarer la fuite à leurs propres clients. C’est exactement le scénario du sous-traitant Mobius / Deezer que la CNIL a sanctionné d’un million d’euros fin 2025 — sauf qu’ici, la facture se démultiplie. Une attaque, mille victimes professionnelles, des millions de personnes concernées.
L’évaluation préalable : votre meilleure (et seule) protection
Le RGPD ne laisse aucune place au doute : un controller dati « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes ». Cette obligation, posée par l’article 28 paragraphe 1, n’est pas un vœu pieux. C’est ce que les contrôleurs viendront chercher. Concrètement, avez-vous un questionnaire d’évaluation envoyé à chaque prestataire ? Demandez-vous leur politique de sécurité, leur registro delle attività di elaborazione, le nom de leur Responsabile della protezione dei dati, leurs certifications ? Avez-vous identifié vos trasferimenti di dati hors UE ? Si la réponse à l’une de ces questions est « heu », vous avez votre première priorité opérationnelle.
Le contrat ne suffit pas, l’audit non plus, mais les deux ensemble oui
UN Accordo di subappalto GDPR bien rédigé — c’est-à-dire un DPA reprenant les huit clauses obligatoires de l’article 28 §3 — est le point de départ. Pas l’arrivée. Il faut aussi piloter dans la durée : audits annuels, revue des sous-traitants ultérieurs, contrôle des mesures techniques et organisationnelles effectivement appliquées. Pour structurer cette démarche, le Modulo per subappaltatori Viqtor centralise évaluations, contrats, audits et historique des échanges dans un référentiel unique. C’est le genre de preuve qu’un contrôleur CNIL adore voir.
Vos contrats et évaluations de sous-traitants sont-ils à jour ? Faites le point avec un expert Viqtor
Ce que l’État fait — et ce que vous devriez faire dans la foulée
200 millions d’euros et une nouvelle autorité numérique
Fin avril, le Premier ministre Sébastien Lecornu a dégainé : 200 millions d’euros pour renforcer la cybersécurité de l’État, fusion de la direction interministérielle du numérique et de celle de la transformation publique pour créer une autorité numérique placée auprès de Matignon. Dans la foulée, l’ANSSI a publié de nouvelles consignes pour les ministères : chacun doit désigner un conseiller cybersécurité. Ce n’est pas anodin. Quand l’État se réorganise à ce niveau, c’est qu’il considère que la maison brûle. Or, dans la chaîne, les administrations sous-traitent énormément — et chaque prestataire est un point d’entrée possible.
Authentification multifacteur : la mesure qui aurait évité bien des drames
Là CNIL martèle un message simple : la majorité des grandes attaques récentes auraient pu être évitées avec une authentification multifacteur correctement déployée. Le MFA, c’est ce double facteur qui rend inopérante une bonne partie des techniques de credential stuffing et de phishing. L’autorité a publié sa recommandation dès mars 2025, laissé un temps d’adaptation aux organismes, et annonce désormais des contrôles ciblés. En 2026, 50 % des actions répressives porteront sur la cybersécurité, contre un quart à un tiers en 2025. Pour les bases qui contiennent plus d’un million de personnes, les contrôles seront prioritaires.
Quelques chantiers concrets à ouvrir cette semaine
Sans surcharger les équipes, il y a quelques actions qui se posent rapidement et qui font une vraie différence en cas d’incident. Voici ce que je recommande à mes clients dirigeants quand ils me demandent par où commencer.
- Activer le MFA sur tous les comptes à privilèges et sur les accès aux outils contenant des dati personali.
- Mettre à jour la liste de vos sous-traitants, vérifier que chacun a un DPA signé, et identifier ceux qui réalisent des trasferimenti di dati hors UE.
- Tester votre procédure de notification de violation : qui prévient qui ? Êtes-vous capable de remonter à la CNIL dans le délai légal de 72 heures ?
- Documenter une AIPD (analyse d’impact) pour vos traitements à risque élevé — c’est l’autre point que la CNIL contrôle systématiquement.
- Refaire un tour rapide de votre registro delle attività di elaborazione : il est rarement aussi à jour qu’on le croit.
Et après la fuite ? La gestion d’incident, là où tout se joue
Les 72 premières heures décident du reste
Quand un prestataire vous alerte, vous avez 72 heures pour notifier la CNIL si la fuite de données présente un risque pour les personnes. Pas trois semaines. Pas le temps de réunir un comité de pilotage. La procédure doit être prête, écrite, testée, et activable un dimanche soir. Notre page dédiée à la dichiarazione di violazione dei dati détaille les étapes pour ne pas s’y prendre à l’envers.
Informer les personnes concernées, l’épreuve de vérité
Si la violation présente un risque élevé pour les droits et libertés des personnes, le RGPD impose en plus d’informer directement chacune d’elles. C’est souvent à ce moment que la communication de crise prend le pas sur le juridique. Mal géré, c’est la confiance qui s’effondre — Marie-Laure Denis parle même de « l’altération du lien de confiance entre l’État et les citoyens » à propos des fuites de l’administration. Pour une entreprise privée, c’est le client qui s’en va, et l’avocat qui arrive.
La sanction, et ce qu’elle dit sur la maturité de l’organisation
Là CNIL ne sanctionne pas la fuite en soi : elle sanctionne les manquements qui l’ont rendue possible ou aggravée. Absence d’authentification multifacteur, registre lacunaire, contrats sous-traitants génériques, notification tardive, accountability inexistante. C’est là que se construit la défense — ou la condamnation. Pour fiabiliser tout cet édifice, notre Una guida completa agli audit di conformità al GDPR donne la méthodologie utilisée par nos consultants.
Domande frequenti
Mon prestataire a subi une fuite de données. Est-ce que je suis responsable ?
Nella misura in cui controller dati, oui, vous restez juridiquement responsable du traitement, même si la fuite vient de votre sous-traitant. Vous devez analyser le risque, notifier la CNIL si nécessaire dans les 72 heures, et le cas échéant informer les personnes concernées. Votre contrat de sous-traitance GDPR doit prévoir comment le prestataire vous alerte et coopère.
L'authentification multifacteur est-elle obligatoire ?
Elle n’est pas inscrite noir sur blanc dans le RGPD, mais la CNIL la considère comme une mesure technique attendue pour tout accès à des dati personali sensibles ou à grande échelle. Sa recommandation de mars 2025 est explicite, et les contrôles 2026 viseront en priorité les organismes qui ne l’auraient pas déployée. En clair : ce n’est plus une option.
Quel délai pour notifier une violation de données à la CNIL ?
72 heures à compter de la prise de connaissance de l’incident, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Au-delà, une notification tardive doit être motivée. La déclaration se fait via le téléservice de la CNIL et doit décrire la nature de la violation, les catégories de données concernées et les mesures prises.
Quelles sont les premières actions à mettre en place pour une PME ?
Cartographier les traitements et tenir un registro delle attività di elaborazione à jour, identifier et contractualiser correctement chaque sous-traitant via un DPA, déployer le MFA, écrire une procédure de notification de violation, et désigner un référent ou un Responsabile della protezione dei dati. Ces cinq chantiers couvrent l’essentiel des points de contrôle CNIL.
À quoi sert une AIPD et quand faut-il en faire une ?
L'AIPD (analyse d’impact) est obligatoire pour les traitements présentant un risque élevé pour les droits et libertés : surveillance à grande échelle, données sensibles, profilage automatisé, etc. Elle documente les risques, les mesures pour les réduire, et démontre votre démarche d’accountability. C’est l’un des premiers documents que la CNIL demande en cas de contrôle.
Vous voulez transformer ces enseignements en plan d’action concret ?
Pour aller plus loin, retrouvez toutes nos ressources sur la governance dei dati et la conformité RGPD sur la Piattaforma Viqtor.