Technomedia

La CNIL publie un rapport d’activité 2025 marqué par une hausse record des plaintes, des violations de données et des sanctions financières. L’autorité de protection des données se prépare aussi à l’entrée en vigueur du règlement européen sur l’intelligence artificielle, tout en renforçant ses actions de sensibilisation et de contrôle dans un contexte de moyens contraints.

La CNIL (Commission nationale de l’informatique et des libertés) a connu en 2025 une année d’intense activité, reflet d’une numérisation toujours plus massive des usages et d’une montée des préoccupations autour des données personnelles. Dans son rapport annuel, l’autorité administrative indépendante chargée de veiller au respect du règlement général sur la protection des données (RGPD) fait état d’une augmentation continue des sollicitations, des contrôles et des sanctions, sur fond de multiplication des cyberattaques et d’essor de l’intelligence artificielle.

Nombre de plaintes en hausse de 10 % en un an

Premier indicateur de cette pression croissante : le nombre de plaintes reçues. La CNIL en a enregistré 20 150 en 2025, soit une hausse de 10 % en un an. Les griefs concernent principalement le non-respect de la vie privée dans les relations de travail, le commerce, l’immobilier ou encore les réseaux sociaux. Près de 1 900 plaintes portent directement sur des violations de données personnelles.

L’institution souligne également l’importance de la coopération européenne. Dans le cadre du mécanisme de guichet unique du RGPD, elle a transmis plus de 230 plaintes transfrontalières et répondu à environ 600 sollicitations de ses homologues européens.

323 contrôles et 83 sanctions pour 487 millions d’euros

L’activité de contrôle reste soutenue. En 2025, la CNIL a mené 323 contrôles auprès d’organismes publics et privés. Ces investigations ont donné lieu à 259 décisions, dont 83 sanctions, pour un montant total proche de 487 millions d’euros reversés au Trésor public. Si deux dossiers majeurs expliquent l’essentiel de cette somme record, l’autorité insiste aussi sur la montée en puissance de sa procédure simplifiée, instaurée en 2022, qui lui permet de traiter plus rapidement des manquements moins complexes impliquant des entreprises de toutes tailles.

La cybersécurité apparaît désormais comme l’un des principaux axes d’action de la CNIL. L’année 2025 a été marquée par 6 167 violations de données notifiées, en hausse de 9,5 % par rapport à 2024. Un incident déclaré sur deux résulte d’un piratage informatique. Les autres notifications concernent notamment des erreurs d’envoi ou des pertes de matériel contenant des données personnelles.

Aucune structure n’est épargnée, les violations

Pour Marie-Laure Denis, présidente de la CNIL, trois constats se dégagent : aucune structure n’est épargnée, les violations deviennent de plus en plus massives et elles impliquent fréquemment des prestataires techniques. Face à cette situation, l’autorité annonce un durcissement de sa stratégie : en 2026, 50 % des contrôles et des actions répressives porteront sur les questions de sécurité des données.

Les contrôles viseront notamment les organismes ayant subi une violation, faisant l’objet de plaintes ou manipulant d’importants volumes de données sensibles, comme les données bancaires, de santé ou de localisation. La CNIL rappelle que la sécurisation des données constitue une obligation prévue par l’article 32 du RGPD.

Préparer l’application du règlement européen sur l’intelligence artificielle

Parallèlement, l’autorité prépare activement l’application progressive du règlement européen sur l’intelligence artificielle (AI Act). Déjà désignée pour contrôler les usages interdits de l’IA, elle devrait aussi devenir autorité de surveillance du marché pour certains systèmes à haut risque, notamment dans les domaines de la biométrie, de l’emploi, de l’éducation ou des usages répressifs.

La CNIL poursuit également un travail d’accompagnement des professionnels. En 2025, elle a lancé sept consultations publiques portant notamment sur les véhicules connectés, les dossiers médicaux, l’octroi de crédit ou les traceurs publicitaires. Elle a traité 1 351 demandes de conseil, rendu 90 avis sur des projets de textes et instruit 539 demandes d’autorisation dans le secteur de la santé.

L’institution entend enfin renforcer ses actions de sensibilisation du grand public, en particulier auprès des jeunes. Elle a multiplié les partenariats avec Radio France, France Télévisions ou le magazine Geek Junior et organisé 266 actions sur le terrain ayant permis de sensibiliser plus de 20 000 personnes. L’année 2025 a aussi été marquée par le lancement de FantomApp, une application destinée aux adolescents afin de les aider à mieux protéger leurs données sur les réseaux sociaux.