Violations de données : la CNIL tire la sonnette d'alarme, et nous avec
Il y a deux semaines, un dirigeant m’a appelé en panique. Un de ses prestataires venait de subir une cyberattaque. Ses fichiers clients, qu’il croyait bien protégés chez un éditeur SaaS « certifié », étaient dans la nature. Première question qu’il m’a posée : « Bon, c’est leur problème, non ? » Eh bien, non. C’est aussi le sien. Et c’est précisément l’un des grands enseignements du rapport annuel publié par la CNIL ce 18 mai : les fuites de données explosent, et la chaîne de sous-traitance est presque toujours dans l’équation.
6 167 notifications de datalek enregistrées en 2025. Un record. 9,5 % de plus qu’en 2024, et le premier trimestre 2026 prend déjà la même pente avec 2 730 incidents. Derrière ces chiffres, des millions de Français concernés, des entreprises ébranlées, et un message limpide de Marie-Laure Denis, présidente de la CNIL : la cybersécurité de l’État comme celle des entreprises est « très loin d’être satisfaisante ».
En synthèse
- Record absolu de datalekken en France en 2025 : 6 167 notifications, +9,5 % sur un an, et le premier trimestre 2026 confirme la tendance.
- DE fuites de données sont de plus en plus massives, l’administration publique en tête, et impliquent très souvent un prestataire.
- L’évaluation et l’encadrement contractuel du GDPR-onderaannemer sont devenus une obligation de premier plan : un DPA conforme, des audits et un suivi sont la base.
- L’authentification multifacteur (MFA) est désormais la mesure que la CNIL attend par défaut. En 2026, 50 % de ses contrôles porteront sur la cybersécurité.
- Une procédure de notification de violation testée, la mise à jour du registratie van verwerkingsactiviteiten et la réalisation des AIPD font la différence le jour J.
- La conformité ne se prouve pas par des intentions, mais par des documents : c’est ça, l’accountability.
Ce que dit (vraiment) le rapport annuel de la CNIL
Des violations « de plus en plus massives »
Le rapport ne se contente pas de compter. Il dresse un portrait. Une quarantaine d’incidents en 2025 ont touché chacun plus d’un million de personnes — dix de plus qu’en 2024. L’administration publique caracole en tête avec 19 % des signalements, suivie par la santé, l’action sociale, puis les activités financières et d’assurance. Et encore : ce bilan ne tient pas compte des cyberattaques contre les logiciels Weda et Harvest, qui ont à elles seules généré plus de 11 600 notifications de clients. Un seul incident en amont, des milliers d’entreprises en aval. Tout est dit.
Trois enseignements qu’il faut s’approprier
Daar CNIL retient trois constats que tout dirigeant devrait écrire en gros sur le tableau du Comex. Premièrement : personne n’est épargné. Fédérations sportives, chaînes d’hôtels, mutuelles, collectivités, PME comme grands groupes — la menace n’a plus de profil type. Deuxièmement : les fuites de données concernent des volumes de plus en plus considérables. Troisièmement, et c’est là que le sujet rejoint nos précédents articles : ces incidents impliquent souvent des prestataires. Le GDPR-onderaannemer est devenu le maillon le plus exposé.
La méthode des attaquants se banalise
Le piratage représente la moitié des signalements. Derrière ce mot, on trouve toute une panoplie : rançongiciel, phishing, credential stuffing, vol de comptes utilisateurs légitimes. À côté, 13 % des incidents viennent d’un mauvais destinataire en copie d’un e-mail, 7 % d’une perte de matériel, 7 % d’une publication accidentelle. Bref, l’erreur humaine reste un facteur considérable. Et puis il y a l’IA générative, qui « automatise, industrialise et démocratise » les attaques, selon les mots mêmes de la présidente de la CNIL. L’affaire ANTS, où un mineur de 15 ans — « pas un prodige », a précisé la procureure — est mis en cause après le piratage de l’agence des titres sécurisés, en est la démonstration glaçante.
Pourquoi vos sous-traitants sont (encore) au cœur du problème
Quand un prestataire tombe, ses clients tombent avec lui
Reprenons l’histoire des logiciels Weda et Harvest. Ce sont deux cyberattaques, mais l’autorité a reçu 11 600 notifications. Parce qu’à chaque fois, derrière l’éditeur, ce sont des centaines de cabinets médicaux, des centaines de conseillers patrimoniaux, qui sont eux aussi gegevensbeheerder et doivent déclarer la fuite à leurs propres clients. C’est exactement le scénario du sous-traitant Mobius / Deezer que la CNIL a sanctionné d’un million d’euros fin 2025 — sauf qu’ici, la facture se démultiplie. Une attaque, mille victimes professionnelles, des millions de personnes concernées.
L’évaluation préalable : votre meilleure (et seule) protection
Le RGPD ne laisse aucune place au doute : un gegevensbeheerder « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes ». Cette obligation, posée par l’article 28 paragraphe 1, n’est pas un vœu pieux. C’est ce que les contrôleurs viendront chercher. Concrètement, avez-vous un questionnaire d’évaluation envoyé à chaque prestataire ? Demandez-vous leur politique de sécurité, leur registratie van verwerkingsactiviteiten, le nom de leur DPO, leurs certifications ? Avez-vous identifié vos gegevensoverdracht hors UE ? Si la réponse à l’une de ces questions est « heu », vous avez votre première priorité opérationnelle.
Le contrat ne suffit pas, l’audit non plus, mais les deux ensemble oui
A GDPR-onderaannemingsovereenkomst bien rédigé — c’est-à-dire un DPA reprenant les huit clauses obligatoires de l’article 28 §3 — est le point de départ. Pas l’arrivée. Il faut aussi piloter dans la durée : audits annuels, revue des sous-traitants ultérieurs, contrôle des mesures techniques et organisationnelles effectivement appliquées. Pour structurer cette démarche, le Viqtor-module voor onderaannemers centralise évaluations, contrats, audits et historique des échanges dans un référentiel unique. C’est le genre de preuve qu’un contrôleur CNIL adore voir.
Vos contrats et évaluations de sous-traitants sont-ils à jour ? Faites le point avec un expert Viqtor
Ce que l’État fait — et ce que vous devriez faire dans la foulée
200 millions d’euros et une nouvelle autorité numérique
Fin avril, le Premier ministre Sébastien Lecornu a dégainé : 200 millions d’euros pour renforcer la cybersécurité de l’État, fusion de la direction interministérielle du numérique et de celle de la transformation publique pour créer une autorité numérique placée auprès de Matignon. Dans la foulée, l’ANSSI a publié de nouvelles consignes pour les ministères : chacun doit désigner un conseiller cybersécurité. Ce n’est pas anodin. Quand l’État se réorganise à ce niveau, c’est qu’il considère que la maison brûle. Or, dans la chaîne, les administrations sous-traitent énormément — et chaque prestataire est un point d’entrée possible.
Authentification multifacteur : la mesure qui aurait évité bien des drames
Daar CNIL martèle un message simple : la majorité des grandes attaques récentes auraient pu être évitées avec une authentification multifacteur correctement déployée. Le MFA, c’est ce double facteur qui rend inopérante une bonne partie des techniques de credential stuffing et de phishing. L’autorité a publié sa recommandation dès mars 2025, laissé un temps d’adaptation aux organismes, et annonce désormais des contrôles ciblés. En 2026, 50 % des actions répressives porteront sur la cybersécurité, contre un quart à un tiers en 2025. Pour les bases qui contiennent plus d’un million de personnes, les contrôles seront prioritaires.
Quelques chantiers concrets à ouvrir cette semaine
Sans surcharger les équipes, il y a quelques actions qui se posent rapidement et qui font une vraie différence en cas d’incident. Voici ce que je recommande à mes clients dirigeants quand ils me demandent par où commencer.
- Activer le MFA sur tous les comptes à privilèges et sur les accès aux outils contenant des persoonlijke gegevens.
- Mettre à jour la liste de vos sous-traitants, vérifier que chacun a un DPA signé, et identifier ceux qui réalisent des gegevensoverdracht hors UE.
- Tester votre procédure de notification de violation : qui prévient qui ? Êtes-vous capable de remonter à la CNIL dans le délai légal de 72 heures ?
- Documenter une AIPD (analyse d’impact) pour vos traitements à risque élevé — c’est l’autre point que la CNIL contrôle systématiquement.
- Refaire un tour rapide de votre registratie van verwerkingsactiviteiten : il est rarement aussi à jour qu’on le croit.
Et après la fuite ? La gestion d’incident, là où tout se joue
Les 72 premières heures décident du reste
Quand un prestataire vous alerte, vous avez 72 heures pour notifier la CNIL si la fuite de données présente un risque pour les personnes. Pas trois semaines. Pas le temps de réunir un comité de pilotage. La procédure doit être prête, écrite, testée, et activable un dimanche soir. Notre page dédiée à la verklaring betreffende datalekken détaille les étapes pour ne pas s’y prendre à l’envers.
Informer les personnes concernées, l’épreuve de vérité
Si la violation présente un risque élevé pour les droits et libertés des personnes, le RGPD impose en plus d’informer directement chacune d’elles. C’est souvent à ce moment que la communication de crise prend le pas sur le juridique. Mal géré, c’est la confiance qui s’effondre — Marie-Laure Denis parle même de « l’altération du lien de confiance entre l’État et les citoyens » à propos des fuites de l’administration. Pour une entreprise privée, c’est le client qui s’en va, et l’avocat qui arrive.
La sanction, et ce qu’elle dit sur la maturité de l’organisation
Daar CNIL ne sanctionne pas la fuite en soi : elle sanctionne les manquements qui l’ont rendue possible ou aggravée. Absence d’authentification multifacteur, registre lacunaire, contrats sous-traitants génériques, notification tardive, accountability inexistante. C’est là que se construit la défense — ou la condamnation. Pour fiabiliser tout cet édifice, notre Een complete handleiding voor GDPR-nalevingsaudits donne la méthodologie utilisée par nos consultants.
Veelgestelde vragen
Mon prestataire a subi une fuite de données. Est-ce que je suis responsable ?
Voor zover gegevensbeheerder, oui, vous restez juridiquement responsable du traitement, même si la fuite vient de votre sous-traitant. Vous devez analyser le risque, notifier la CNIL si nécessaire dans les 72 heures, et le cas échéant informer les personnes concernées. Votre contrat de sous-traitance AVG doit prévoir comment le prestataire vous alerte et coopère.
L'authentification multifacteur est-elle obligatoire ?
Elle n’est pas inscrite noir sur blanc dans le RGPD, mais la CNIL la considère comme une mesure technique attendue pour tout accès à des persoonlijke gegevens sensibles ou à grande échelle. Sa recommandation de mars 2025 est explicite, et les contrôles 2026 viseront en priorité les organismes qui ne l’auraient pas déployée. En clair : ce n’est plus une option.
Quel délai pour notifier une violation de données à la CNIL ?
72 heures à compter de la prise de connaissance de l’incident, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Au-delà, une notification tardive doit être motivée. La déclaration se fait via le téléservice de la CNIL et doit décrire la nature de la violation, les catégories de données concernées et les mesures prises.
Quelles sont les premières actions à mettre en place pour une PME ?
Cartographier les traitements et tenir un registratie van verwerkingsactiviteiten à jour, identifier et contractualiser correctement chaque sous-traitant via un DPA, déployer le MFA, écrire une procédure de notification de violation, et désigner un référent ou un DPO. Ces cinq chantiers couvrent l’essentiel des points de contrôle CNIL.
À quoi sert une AIPD et quand faut-il en faire une ?
DeAIPD (analyse d’impact) est obligatoire pour les traitements présentant un risque élevé pour les droits et libertés : surveillance à grande échelle, données sensibles, profilage automatisé, etc. Elle documente les risques, les mesures pour les réduire, et démontre votre démarche d’accountability. C’est l’un des premiers documents que la CNIL demande en cas de contrôle.
Vous voulez transformer ces enseignements en plan d’action concret ?
Pour aller plus loin, retrouvez toutes nos ressources sur la gegevensbeheer et la conformité RGPD sur la Viqtor-platform.