Rapport annuel CNIL 2025 : cybersécurité en tête, 487 M€ de sanctions et un cap clair pour 2026

30/5/26
👈 les autres actualités

Rapport annuel CNIL 2025 : cybersécurité en tête, 487 M€ de sanctions et un cap clair pour 2026

La CNIL a publié le 18 mai 2026 son rapport annuel 2025. Le bilan est sans appel : 323 contrôles, 83 sanctions pour près de 487 millions d'euros, et une priorité réaffirmée pour 2026 — la cybersécurité absorbera 50 % des contrôles de l'institution. Pour les DPO et RSSI, ce document est un outil de pilotage à lire de près.

Ce qui s'est passé

En 2025, la CNIL a rendu 259 décisions dont 83 sanctions, pour un montant total de 486,8 millions d'euros — un record pour l'institution française. Deux sanctions importantes pèsent sur ce chiffre, mais la Commission a également multiplié les amendes contre des entreprises de toutes tailles, notamment via sa procédure simplifiée introduite en 2022 qui lui permet d'instruire plus rapidement les dossiers moins complexes.

Les violations de données continuent de s'accélérer. La CNIL a enregistré 20 150 plaintes en 2025, soit une hausse de 10 % par rapport à l'année précédente, dont 1 900 directement liées à des violations de données. L'institution a également prononcé 143 mises en demeure. Trois tendances de fond ressortent selon la présidente Marie-Laure Denis : « personne n'est épargné », les violations sont de plus en plus massives, et elles impliquent très souvent des prestataires tiers.

Sur le front de la cybersécurité, les manquements à l'article 32 du RGPD représentent déjà un tiers des contrôles menés et près de 30 % des sanctions prononcées. La CNIL a renforcé sa coopération avec l'ANSSI et le parquet « cyber » de Paris pour les cas les plus graves.

Pourquoi c'est important

Ce rapport marque un tournant. La CNIL ne se contente plus d'accompagner : elle contrôle, sanctionne, et le dit explicitement. Comme le montrait déjà l'interview de Marie-Laure Denis publiée fin 2025, l'État lui-même n'est plus épargné — il figure explicitement dans les cibles des contrôles 2026, notamment après la vague de cyberattaques qui a touché des organismes publics majeurs.

Pour contextualiser l'ampleur du bilan, notre analyse des 20 150 plaintes CNIL de 2025 avait déjà alerté sur la triple pression qui s'exerce sur les DPO : explosion des signalements, massification des violations, et poids croissant des sous-traitants dans les incidents. Le rapport annuel confirme et chiffre cette réalité.

À l'échelle européenne, ce bilan français s'inscrit dans une dynamique commune. L'EDPB avait publié son propre rapport annuel 2025 faisant état de 1,15 Md€ d'amendes à l'échelle du continent, avec un virage stratégique acté à Helsinki vers un dialogue renforcé entre autorités.

Ce que ça change pour les organisations

Le signal pour 2026 est très concret : la CNIL va consacrer 50 % de ses contrôles aux manquements en matière de cybersécurité. Ce n'est plus une intention — c'est un engagement public. Quatre chantiers sont à prioriser :

  • Sécuriser l'article 32 : les manquements à la sécurité des données représentent déjà 30 % des sanctions. Un audit du dispositif technique et organisationnel est non négociable.
  • Cartographier les sous-traitants critiques : les violations impliquant des prestataires tiers se multiplient. Vérifiez que vos contrats (article 28) couvrent bien les obligations de notification.
  • Structurer la notification sous 72h : avec 1 900 violations notifiées en 2025, les procédures internes de détection et d'escalade doivent être testées et documentées.
  • Nommer ou consolider la fonction DPO : la CNIL vient de publier un modèle de rapport d'activité du DPO pour structurer le pilotage et la reddition de comptes — un signal clair sur ce qu'elle attend.

Pour les organisations qui souhaitent comprendre les fondamentaux du cadre réglementaire, notre guide complet sur la CNIL détaille ses missions, ses pouvoirs de sanction et ses modes d'intervention.

Ce que Leto pense de cette décision

Ce rapport est le document le plus utile que la CNIL publie chaque année — non pour ce qu'il révèle sur le passé, mais pour ce qu'il annonce. La montée en puissance de la cybersécurité dans le mix répressif est structurelle, pas conjoncturelle. Les DPO qui attendent que leur RSSI « gère le sujet » avant d'y revenir prennent un risque réel. L'article 32 est une obligation RGPD, et la CNIL vient de confirmer qu'elle en fera sa priorité absolue.

Sources : Rapport annuel CNIL 2025 — cnil.fr

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026