Vos données médicales, vos coordonnées bancaires, et vos identifiants en ligne n’ont jamais été aussi exposés. La Commission nationale de l’informatique et des libertés (CNIL) vient de publier son rapport annuel des violations de données et le constat est sans appel. Avec 6 167 violations de données signalées sur l’année écoulée, la France enregistre un triste record historique. C’est 9,5% de fuites en plus qu’en 2024.
Fédérations sportives, chaînes hôtelières, services publics, opérateurs… Tous les secteurs sont touchés. Récemment, c’est le monde du tourisme français qui s’est d’ailleurs retrouvé dans le collimateur des cybercriminels. En l’espace de quelques jours, un hacker est parvenu à pirater trois géants du tourisme, à savoir Pierre et Vacances-Center Parcs, Belambra et Gîtes de France. Au cours de ces attaques, ce sont les données de plus de 5 millions de Français, étalées sur 30 ans, qui ont été compromises.
À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées
Des violations graves plus massives
Sur les 6 167 incidents recensés l’an dernier par la CNIL, un sur deux est directement lié à une cyberattaque, et non à une simple défaillance. Les secteurs les plus touchés de France sont l’administration publique, la santé, la finance et les assurances. Le rapport souligne que les violations les plus graves deviennent de plus en plus massives. En 2025, une quarantaine d’incidents ont concerné des bases de données réunissant plus d’un million de personnes. C’est dix fois plus que l’année précédente.
« Personne n’est épargné. Les violations sont de plus en plus massives et impliquent souvent des prestataires », déclare Marie-Laure Denis, la présidente de la CNIL depuis 2019.
Selon la CNIL, ces attaques touchent surtout des prestataires, dont les mesures de sécurité ne sont pas toujours à la hauteur. Les acteurs généralement « de taille plus modeste » font partie des cibles privilégiées des pirates. Les cybercriminels visent les maillons les plus faibles de la chaîne d’approvisionnement numérique pour arriver à leurs fins.
Notez qu’en 2025, les Français ont déposé un nombre record de plaintes auprès de la CNIL. Plus de 20 000 signalements, soit une hausse de 10 % par rapport à 2024, ont été enregistrées. Parmi ces signalements, près de 1 900 concernent directement des violations de données personnelles.
Sans grande surprise, la tendance s’est accélérée en 2026. Cette année, le gendarme des données a déjà relevé plus de 2 730 violations en l’espace d’un trimestre. C’est près de la moitié de toutes les violations enregistrées l’an dernier. Parmi les fuites phares de ce début d’année, on trouve le piratage de France Titres, qui s’est soldé par le vol des informations de 12 millions de Français, le nouveau hack de Bouygues Telecom, la cyberattaque contre le ministère de l’Éducation nationale, ou encore la violation survenue chez Cegedim.
Pour expliquer le boom des vols de données, Marie-Laure Denis pointe du doigt « le développement de l’intelligence artificielle ». Selon elle, l’IA permet aux cybercriminels d’automatiser leurs attaques, et de « les personnaliser en recoupant les données ». Les exemples montrant que l’IA change la donne ne manquent pas. On se souviendra notamment des arnaques aux colis dopées à l’IA, avec des photos générées artificiellement pour duper les cibles, voire des messages vocaux factices.
La CNIL contre-attaque avec plus de contrôles
Face à cette explosion de fuites, la CNIL ne compte pas rester les bras croisés. L’organisme s’est engagé à consacrer la moitié de ses contrôles et de ses actions répressives à la sécurité des données. C’est une décision inédite dans l’histoire de la CNIL. Dans le viseur du gendarme, on trouve surtout les organismes détenant de grandes bases de données. Ceux-ci doivent s’attendre à une visite de contrôle dans le courant de l’année. Les contrôles de la Cnil et « les conséquences répressives possibles en matière de cybersécurité vont fortement s’accentuer en 2026 », met en garde la présidente de l’organisme.
Notez que la CNIL avait déjà durci le ton l’année dernière, en multipliant les contrôles. En 2025, la CNIL a infligé 83 sanctions à des entreprises qui n’ont pas pris les mesures adéquates pour protéger les données en leur possession, pour un montant total de près de 487 millions d’euros. C’est un record pour l’agence. L’an dernier, les deux amendes les plus importantes ont été infligées dans le cadre de la politique de contrôle des cookies. C’est Google et Shein qui se sont retrouvés dans le collimateur de la CNIL, avec des amendes respectives de 325 millions d’euros et de 150 millions d’euros. Malheureusement, le tour de vis de l’an dernier ne s’est pas traduit par une diminution du nombre de fuites de données, bien au contraire.
La double authentification dans le viseur
Parmi les mesures phares préconisées par la CNIL, on trouve la généralisation de l’authentification à deux facteurs. Plusieurs des attaques massives de ces derniers mois, dont celle du ministère, de l’Éducation nationale, de la police nationale ou de Cegedim, auraient été évitées avec une simple mesure d’authentification multifactorielle. C’est d’ailleurs l’un des aspects clés contrôlés par la CNIL pour « l’accès à distance aux bases de données de plus de 1 million de personnes », souligne la présidente.
La Commission nationale de l’informatique et des libertés souhaite aussi que les organismes puissent « détecter une activité inhabituelle sur les réseaux », bien avant que les données volées ne se retrouvent sur des marchés noirs. Pour Marie-Laure Denis, c’est « anormal que les entreprises et les administrations se rendent compte des violations de données quand celles-ci sont en vente sur le dark Web ». Gageons que les efforts déployés par CNIL puissent parvenir, du moins dans une certaine mesure, à endiguer la vague de cyberattaques qui déferle sur la France depuis quelques années.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Le Monde
