Marie-Laure Denis (CNIL) : « L'État a une responsabilité particulière à l'égard des données des Français »

26/5/26
👈 les autres actualités

Dans un entretien accordé au Monde le 18 mai 2026, la présidente de la CNIL, Marie-Laure Denis, prévient : « L'État a une responsabilité particulière à l'égard des données des Français ». Une déclaration qui n'est pas un effet d'estrade. Elle prépare un durcissement concret des contrôles, des sanctions et du suivi des violations de données — y compris pour les acteurs publics.

Ce qui s'est passé

Face à l'enchaînement des fuites de données massives qui touchent administrations, hôpitaux, opérateurs publics et grandes plateformes privées en France, la présidente de la CNIL signale un changement de braquet. L'autorité de contrôle française entend intensifier les vérifications terrain, accélérer les procédures de sanction et durcir les attentes en matière de signalement des violations.

L'État est explicitement nommé. C'est un signal politique fort : la CNIL refuse l'idée d'un double standard entre acteurs privés et acteurs publics. Les administrations, collectivités, opérateurs publics et établissements de santé devront démontrer le même niveau d'exigence que les entreprises soumises au RGPD depuis 2018.

Cette prise de parole intervient quelques jours après que la CNIL a rendu public son bilan 2025 — 20 150 plaintes record et 487 M€ de sanctions, avec l'administration publique déjà annoncée comme cible explicite des contrôles 2026.

Pourquoi c'est important

Le contexte est lourd. La CNIL a enregistré 6 167 violations de données en 2025, certaines touchant plusieurs millions de Français. France Travail, opérateurs télécoms, fédérations sportives, hôpitaux, plateformes commerciales : aucun secteur n'est épargné, et le secteur public concentre désormais une part disproportionnée des incidents les plus visibles.

Dans ce climat, la déclaration de Marie-Laure Denis fait basculer plusieurs équilibres :

  • L'État comme responsable de traitement à part entière. La présidente rappelle que le statut public n'exonère ni des obligations de sécurité ni de l'obligation de notification sous 72 heures prévue par l'article 33 du RGPD.
  • Une politique de contrôle plus offensive. Après la enquête du Monde sur l'impuissance perçue des autorités, la CNIL doit montrer qu'elle peut sanctionner — vite, et lourdement.
  • Une exigence renforcée sur la sécurité du traitement. L'article 32 du RGPD (chiffrement, pseudonymisation, résilience, tests) redevient un point de contrôle systématique, et plus uniquement un attendu théorique.

Pour les administrations, l'enjeu n'est plus seulement budgétaire ou organisationnel : il devient juridique et réputationnel.

Ce que ça change pour les organisations

Pour les DPO, RSSI et directions juridiques — qu'ils opèrent dans une entreprise privée ou une collectivité territoriale — quatre chantiers deviennent prioritaires sur les douze prochains mois.

1. Tester réellement la procédure d'incident. La notification à l'autorité sous 72 heures suppose une chaîne d'alerte interne fluide, une équipe de réponse identifiée et des modèles de qualification des incidents déjà rédigés. Un exercice de table-top par semestre n'est plus un luxe — c'est une preuve à produire en cas de contrôle. Notre guide pratique sur les violations de données détaille les étapes attendues.

2. Auditer les sous-traitants critiques. Les fuites de 2024–2026 montrent que la majorité des incidents transitent par un prestataire (RH, paye, hébergeur, marketing). L'article 28 RGPD impose un encadrement contractuel et un suivi documenté de ces tiers. Pour les acteurs publics, cela inclut éditeurs métier et délégataires de service public.

3. Cartographier les traitements à haut risque. Données de santé, données sensibles, mineurs, fichiers nationaux : la CNIL prévient qu'elle ciblera les traitements à forte exposition. Une cartographie à jour et une analyse d'impact (AIPD) documentée pour chaque traitement à risque sont désormais des prérequis défensifs.

4. Documenter les mesures de sécurité. MFA généralisée, chiffrement des bases sensibles, segmentation réseau, sauvegardes restaurables et testées, journalisation : la CNIL attend des preuves, pas des déclarations. L'écart entre la politique de sécurité affichée et l'état réel des systèmes est l'angle d'attaque favori des contrôleurs.

Ce que Leto pense de cette déclaration

La sortie de Marie-Laure Denis confirme une bascule que nous observons depuis plusieurs mois : la CNIL ne se contente plus d'éduquer ou de mettre en demeure, elle assume une posture de régulateur ferme. Pour les organisations qui ont longtemps considéré le RGPD comme une obligation administrative, l'année 2026 sera celle du rattrapage.

Le message implicite est clair : les organisations qui n'ont pas encore investi dans une procédure d'incident testée, un audit sous-traitants à jour et une cartographie des risques s'exposent à un risque combiné — sanction CNIL, exposition médiatique, contentieux civils. À l'inverse, celles qui peuvent démontrer une démarche de conformité documentée et continue se trouvent en position favorable, y compris en cas d'incident.

Notre conviction : l'État qui se met lui-même sous pression envoie un signal de maturité réglementaire — mais aussi un signal que personne ne sera épargné. Les DPO du secteur public, en particulier, doivent s'y préparer dès maintenant.

Sources : Le Monde — Entretien Marie-Laure Denis, 18 mai 2026 · CNIL

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026