Si vous gérez un site web qui collecte des données personnelles, le rapport annuel CNIL 2025 publié le 18 mai 2026 vous concerne directement : les chiffres sont records, les contrôles s'intensifient, et personne n'est épargné.
La Commission Nationale de l'Informatique et des Libertés a publié son bilan annuel avec des indicateurs en hausse sur tous les fronts simultanément. Jamais l'autorité n'avait reçu autant de plaintes, prononcé autant de sanctions, ni enregistré autant de violations de données en une seule année. Et 2026 s'annonce encore plus tendu, avec plus de 2 730 violations déjà signalées au premier trimestre, contre 2 500 sur la même période en 2025.
Ce rapport n'est pas un document réservé aux juristes. C'est un signal d'alarme adressé à tous ceux qui collectent des données personnelles : commerçants en ligne, agences web, indépendants, associations, collectivités. La présidente de la CNIL, Marie-Laure Denis, le formule sans détour : "personne n'est épargné". Voici ce que vous devez retenir, et surtout, ce que vous devez faire.
Un bilan 2025 qui bat tous les records
Les quatre grands indicateurs du rapport progressent tous en même temps, ce qui est inédit depuis la création de l'autorité. La CNIL a reçu 20 150 plaintes en 2025, soit 10 % de plus qu'en 2024. Elle a conduit 323 contrôles et prononcé 83 sanctions. Mais c'est le montant des amendes qui retient surtout l'attention : 487 millions d'euros au total, contre 55,2 millions l'année précédente.
Deux sanctions pèsent lourd dans ce total. Free Mobile et Free ont écopé de 42 millions d'euros cumulés pour des violations de données insuffisamment sécurisées. France Travail a été condamné à 5 millions d'euros. Mobius Solutions, un sous-traitant, a écopé d'un million d'euros. Ce dernier cas est particulièrement significatif : la CNIL sanctionne désormais les prestataires autant que les responsables de traitement, ce qui change la donne pour toutes les agences web et éditeurs de logiciels.
487 millions d'euros en 2025, contre 55,2 millions en 2024. Un niveau inédit dans l'histoire de l'institution, porté par la procédure simplifiée qui permet d'agir plus vite sur les cas moins complexes.
La hausse des plaintes s'explique en partie par des incidents d'ampleur exceptionnelle. Le rapport mentionne une série de vols de données ciblant les clients d'un éditeur de solution CRM, ainsi que des attaques contre des fédérations sportives françaises. Ces incidents ont généré des milliers de notifications en cascade auprès des entreprises clientes concernées, sans même être intégralement comptabilisées dans le bilan annuel global.
Cybersécurité : la CNIL passe à l'offensive en 2026
Les 6 167 violations de données notifiées à la CNIL représentent un record absolu depuis la mise en place de ce registre. Parmi elles, un incident sur deux relève d'un piratage informatique, qui demeure la nature d'incident la plus fréquente. Les secteurs les plus touchés sont l'administration publique, la santé et les activités financières. Les violations peuvent également provenir d'erreurs humaines : envoi de données au mauvais destinataire, perte de matériel, accès non sécurisé à des fichiers clients.
Face à cette situation, la CNIL ne se contente pas de constater. Elle annonce qu'en 2026, la moitié de ses contrôles et de ses actions répressives sera consacrée à la cybersécurité. C'est une rupture franche avec les années précédentes, où ce sujet représentait entre un quart et un tiers des contrôles seulement. La CNIL travaille en parallèle avec l'ANSSI et le parquet "cyber" de Paris pour les suites pénales dans les cas les plus graves.
Attention : les contrôles 2026 cibleront en priorité les organismes ayant déjà subi une violation signalée, ceux faisant l'objet de plaintes déposées, et les secteurs traitant massivement des données sensibles : santé, finance, données de localisation, fichiers d'État.
Le rapport tire trois enseignements des violations de données notifiées en 2025. Premièrement, personne n'est épargné : PME, associations, collectivités et grands groupes sont tous concernés. Deuxièmement, les violations sont de plus en plus massives, certains incidents touchant plus d'un million de personnes. Troisièmement, elles impliquent souvent des prestataires dont les systèmes de sécurité sont insuffisants. Cette dernière observation est directement actionnaire pour toute entreprise qui confie des données à un hébergeur, un éditeur de logiciel ou une agence web.
L'IA : un vecteur d'attaque et un nouveau champ de régulation
La présidente de la CNIL formule un avertissement direct dans le rapport : le développement de l'intelligence artificielle "automatise, industrialise et démocratise les attaques" tout en "permettant de les personnaliser en recoupant les données". L'IA rend les attaques moins coûteuses, plus rapides et plus ciblées pour ceux qui les mènent. C'est une évolution structurelle qui explique en partie la hausse continue du nombre de violations.
Bon à savoir : la CNIL est déjà désignée autorité de contrôle pour les usages interdits de l'IA au titre du règlement européen sur l'intelligence artificielle (RIA). Elle devrait prochainement être aussi désignée pour surveiller les systèmes à haut risque : biométrie, migration, emploi, éducation.
Sur le volet accompagnement, la CNIL a publié en 2025 une série de recommandations pour les concepteurs et développeurs de systèmes d'IA, désormais disponibles en français et en anglais. Elle a également lancé un outil de traçabilité des modèles d'IA en source ouverte, développé en coopération avec l'ANSSI et Inria. Pour les professionnels qui intègrent des outils d'IA dans leurs sites ou leurs processus métier, ces nouvelles compétences de la CNIL signifient une chose concrète : les traitements automatisés impliquant des données personnelles seront examinés au même titre que les questions de cybersécurité classique.
Votre site est-il exposé aux manquements que cible la CNIL en 2026 ?
En 15 secondes, notre scanner analyse votre conformité RGPD et identifie les points à corriger avant un contrôle.
Ce que ça change concrètement pour votre site
Le rapport CNIL 2025 n'est pas seulement un bilan : c'est une feuille de route des contrôles à venir. Si vous gérez un site web, une boutique en ligne ou tout service qui collecte des données personnelles, voici ce que vous devez comprendre selon votre situation.
Pour les PME et indépendants
Vous êtes dans le radar. La procédure simplifiée de la CNIL permet de sanctionner les petites structures plus rapidement que par le passé.
- Vérifiez que votre politique de confidentialité est accessible et à jour
- Assurez-vous qu'aucun cookie non essentiel n'est déposé avant consentement
- Auditez vos prestataires : un sous-traitant non conforme vous engage directement
- Documentez vos mesures de sécurité (article 32 du RGPD)
Pour les agences web
Vous pouvez être sanctionné en tant que sous-traitant. La condamnation de Mobius Solutions à un million d'euros en est la démonstration directe.
- Intégrez une clause de sous-traitance RGPD conforme à l'article 28 dans vos contrats
- Vérifiez la conformité de chaque site que vous hébergez ou maintenez
- Proposez la génération de documents légaux comme prestation incluse ou optionnelle
- Tenez un registre des traitements pour les clients qui vous confient leurs données
La checklist de conformité face aux contrôles 2026
L'article du rapport annuel CNIL 2025 précise que la sécurité des données personnelles est une obligation prévue par l'article 32 du RGPD, en complément d'autres textes comme la directive NIS2 pour les secteurs critiques. Voici les actions prioritaires à mettre en place.
- Politique de confidentialité conforme : rédigée en français, accessible depuis chaque page, mentionnant la base légale de chaque traitement et les droits des utilisateurs.
- Bandeau cookies conforme : le refus doit être aussi simple que l'acceptation, et aucun cookie non essentiel ne doit être déposé avant consentement (article 82 de la loi Informatique et Libertés).
- Mentions légales complètes : SIRET, forme juridique, hébergeur, coordonnées de contact visibles depuis le footer.
- Sécurité des formulaires : connexion HTTPS obligatoire, données transmises chiffrées, accès limité aux personnes autorisées.
- Contrats sous-traitants : tout prestataire qui traite vos données (hébergeur, CRM, outil d'emailing) doit avoir signé une clause conforme à l'article 28 du RGPD. Sans ce document, vous êtes exposé en cas de contrôle.
- Procédure de notification : en cas de violation de données, vous disposez de 72 heures pour notifier la CNIL (article 33 du RGPD). Préparez cette procédure avant d'en avoir besoin.
Questions fréquentes
Ma petite entreprise est-elle vraiment dans le viseur de la CNIL ?
Oui. La CNIL dispose depuis 2022 d'une procédure simplifiée qui lui permet de sanctionner plus rapidement les manquements moins complexes. Cette procédure cible notamment les PME, les indépendants et les associations. Le rapport 2025 confirme que des entreprises de "toutes tailles et de tous secteurs" ont été sanctionnées au cours de l'année, y compris des structures modestes.
Qu'est-ce qu'une violation de données au sens du RGPD ?
Une violation de données est toute atteinte à la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Cela couvre les piratages, mais aussi les erreurs humaines : un email envoyé au mauvais destinataire, un ordinateur perdu, un fichier client accessible sans mot de passe. Dès que vous suspectez une violation, l'article 33 du RGPD vous impose de notifier la CNIL dans les 72 heures.
Mes sous-traitants et prestataires m'exposent-ils à des risques ?
Oui. Le rapport 2025 souligne que de nombreuses violations impliquent des prestataires "de taille plus modeste" dont la sécurité est insuffisante. En tant que responsable de traitement, vous restez responsable des données même lorsqu'elles sont traitées par un tiers. L'article 28 du RGPD impose un contrat écrit avec chaque sous-traitant, définissant précisément ses obligations en matière de sécurité et de confidentialité.
Que contrôle concrètement la CNIL en matière de cybersécurité ?
La CNIL vérifie l'application de l'article 32 du RGPD, qui impose des mesures techniques et organisationnelles adaptées au niveau de risque. En pratique, cela couvre : le chiffrement des données sensibles, la gestion des droits d'accès, les mises à jour de sécurité, les sauvegardes régulières, la politique de mots de passe et la formation des personnes ayant accès aux données. En 2026, ces contrôles représenteront 50 % de l'activité répressive de la CNIL.
Comment la CNIL choisit-elle les organismes à contrôler en 2026 ?
Selon le rapport annuel, les contrôles 2026 cibleront en priorité trois catégories : les organismes ayant déjà subi une violation de données signalée, ceux qui font l'objet de plaintes déposées par des particuliers, et les secteurs traitant massivement des données sensibles comme la santé, la finance, les données de localisation ou les fichiers d'État. Les récidivistes feront l'objet d'une attention particulière.
L'IA que j'utilise sur mon site est-elle concernée par la réglementation ?
Potentiellement oui. Si vous utilisez un outil d'IA traitant des données personnelles de vos utilisateurs (chatbot, recommandation personnalisée, analyse comportementale), les règles du RGPD s'appliquent intégralement. De plus, le règlement européen sur l'intelligence artificielle entre progressivement en application, et la CNIL est désignée autorité de contrôle pour les usages interdits. Documentez les traitements automatisés que vous opérez et vérifiez leur base légale.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.