L'an passé, les violations de données personnelles ont explosé en France, touchant des millions de citoyens. Face à cette vague sans précédent, qui se confirme en 2025, la CNIL renforce son arsenal : nouvelles obligations techniques, sanctions accrues et surveillance des usages numériques, notamment dans les applications mobiles et l'intelligence artificielle.
Jamais les données personnelles des Français n'avaient été autant convoitées, ni aussi massivement compromises. L'an passé, les cyberattaques visant les entreprises et les organismes publics ont pris une ampleur inédite, touchant parfois des millions de personnes en une seule opération. Derrière ces violations, il y a des noms familiers – France Travail, Free, Auchan – mais surtout une tendance lourde : les informations sensibles circulent de plus en plus vite, entre mains malveillantes, dans un contexte de numérisation galopante. Face à cette menace croissante, la Commission nationale de l'informatique et des libertés (CNIL), pilier français de la protection de la vie privée, tente d'imposer une ligne de défense plus rigoureuse.
Année noire
Selon le dernier rapport de la CNIL, 5 629 notifications de violations de données ont été enregistrées, soit une hausse de 20 % par rapport à 2023. Mais au-delà de la progression statistique, c'est surtout la gravité des incidents qui inquiète. Le nombre d'attaques ayant touché plus d'un million de personnes a doublé en un an, passant d'une vingtaine à une quarantaine. Ce sont désormais des fuites de masse, où des fichiers entiers, souvent mal protégés, sont exfiltrés en quelques minutes, exposant adresses, numéros de sécurité sociale, données bancaires ou informations de santé. Le phénomène s'accélère encore en 2025 : déjà plus de 2 500 violations ont été signalées au premier trimestre, ce qui laisse entrevoir une nouvelle année noire en matière de cybersécurité personnelle.
Cibles multiples
Derrière ces chiffres alarmants se cachent des noms bien connus du grand public, preuve que même les structures les plus établies ne sont pas à l'abri. En 2024, plusieurs grandes entreprises et institutions françaises ont été la cible d'attaques d'envergure. Parmi elles, France Travail – ex-Pôle emploi – a subi l'une des cyberattaques les plus massives de l'année, avec des données concernant potentiellement 43 millions de personnes exfiltrées. L'opérateur Free, les plateformes de tiers payant Viamedis et Almerys, ou encore le groupe de distribution Auchan, ont également vu leurs systèmes compromis. Autant de brèches qui témoignent d'un écosystème numérique encore trop vulnérable, où la protection des données personnelles reste insuffisamment prise en compte dans les architectures techniques et les politiques de sécurité internes.
Le ton se durcit
Face à cette montée en puissance des cybermenaces, la réponse institutionnelle s'organise. La CNIL, souvent critiquée pour son manque de réactivité et de dureté, a décidé de hausser le ton. Toujours selon le dernier rapport annuel, plus de 17 000 plaintes ont été reçues - un record -, et le nombre de sanctions a plus que doublé en un an, passant de 42 à 87, pour un total de 55,2 millions d'euros d'amende. Mais au-delà des poursuites, le régulateur veut désormais agir en prévention. Dès 2026, les entreprises et organismes qui détiennent les données de plus de deux millions de personnes devront mettre en place une double authentification pour tout accès distant. Une mesure qui, selon sa présidente Marie-Laure Denis, conseillère d'État et président de la CNIL, aurait pu éviter « 80 % des grandes violations de données ». L'autorité entend également renforcer l'obligation d'informer les utilisateurs sur la collecte de leurs données dans les applications mobiles, et place l'intelligence artificielle générative sous haute surveillance, en concertation avec les grands acteurs du secteur. Une mobilisation française qui tente de poser des garde-fous à un numérique devenu, trop souvent, un terrain sans règles. Mieux vaut tard que jamais...
