CNIL 2025 : 20 150 plaintes record et 487 M€ de sanctions — l'administration publique dans le viseur des contrôles 2026

19/5/26
👈 les autres actualités

La CNIL franchit un cap symbolique : 20 150 plaintes reçues en 2025, soit 10 % de plus qu'en 2024, un montant record de 486 839 500 € de sanctions et une cible désormais explicite sur l'administration publique. Pour les DPO et RSSI, l'autorité ne se contente plus d'annoncer un durcissement : elle en publie les preuves chiffrées et trace la feuille de route 2026 des contrôles à venir.

Ce qui s'est passé

Dans son rapport annuel 2025 publié le 19 mai 2026, la CNIL dévoile un triple record : 20 150 plaintes, dont environ 1 900 directement liées à des violations de données personnelles, 83 sanctions et 143 mises en demeure. Le montant cumulé des amendes — près d'un demi-milliard d'euros — pulvérise les exercices précédents, déjà tirés à la hausse par 47 M€ prononcés sur le seul premier trimestre 2026.

L'origine des plaintes confirme un déplacement du contentieux vers le quotidien des Français : non-respect de la protection des données au travail, dans le commerce, dans l'immobilier ou sur les réseaux sociaux. Surtout, l'autorité enregistre simultanément un record absolu de notifications de violations de données — corollaire d'une vague de cyberattaques qui frappe en 2025 majoritairement le secteur public.

Pourquoi c'est important

Au-delà des chiffres, c'est la posture de la CNIL qui change. L'autorité annonce un durcissement drastique de ses contrôles et investigations, et désigne pour la première fois aussi clairement l'administration publique comme prochaine cible prioritaire. Ce signal s'ajoute à une série de signaux convergents observés ces derniers mois : plan de contrôles sur 30 fédérations sportives, ouverture de procédures publiques après chaque incident majeur, et soutien explicite aux recours associatifs contre des organismes publics piratés.

Pour les DPO, la lecture est sans ambiguïté : la plainte au sens de l'article 77 du RGPD n'est plus un signal faible. Sa progression annuelle à deux chiffres, conjuguée à la part croissante des plaintes « violation de données », fait du circuit plainte-instruction-contrôle un canal d'enforcement quasi-industriel.

Ce que ça change pour les organisations

Trois axes d'action s'imposent immédiatement aux responsables de la conformité.

1. Solidifier la chaîne de notification des violations. Avec 1 900 plaintes directement liées à des incidents, la CNIL dispose d'une matière instruction quasi-illimitée. La notification sous 72 heures prévue à l'article 33 du RGPD doit s'appuyer sur un processus testé, documenté et tracé. Le guide Leto sur la violation de données détaille la séquence opérationnelle attendue par l'autorité.

2. Auditer ses traitements avant l'autorité. Les amendes 2025 sanctionnent en quasi-totalité des défauts de sécurité, des durées de conservation excessives, ou des manquements à l'information des personnes — des sujets qui ressortent systématiquement d'un audit RGPD bien mené. Pour une DSI publique, l'enjeu 2026 est d'arriver au contrôle avec un état des lieux daté, signé, et un plan de remédiation déjà engagé.

3. Cartographier les sous-traitants critiques. Les incidents 2025 montrent que les violations naissent rarement chez le responsable de traitement : éditeurs SaaS, hébergeurs, prestataires d'authentification concentrent le risque. Une revue annuelle des contrats article 28 et des mesures techniques associées devient un prérequis défensif face à des contrôles dont la CNIL annonce explicitement qu'ils seront « plus rapides et plus nombreux ».

Ce que Leto pense de cette décision

Le bilan 2025 marque une rupture qualitative, pas seulement quantitative. La CNIL passe d'une logique d'exemplarité ponctuelle — quelques sanctions médiatiques par an — à une logique de cadence soutenue, financée par un flux d'instructions désormais industriel. Pour les DPO du secteur public, le message est clair : la conformité ne sera plus jugée à l'aune des intentions affichées, mais à celle des preuves de mise en œuvre. Et pour le secteur privé, la sérénité affichée jusqu'ici par certains responsables face aux « grosses amendes réservées aux GAFAM » devient intenable : 83 sanctions en un an, c'est en moyenne plus d'une décision par semaine.

Sources :
CNIL — Rapport annuel 2025
CNIL — Sanctions et mesures correctrices : bilan 2025
ZDNet France — La CNIL enregistre un record de 20 150 plaintes en 2025

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026