Le 9 février dernier, la CNIL a publié le bilan 2025 de son action répressive. Au-delà des 487 millions d'euros d'amendes cumulées – largement portés (sans surprise) par deux sanctions en matière de cookies – une autre tendance mérite attention : la montée en puissance des sanctions pour manquement à la sécurité des données personnelles et plus spécifiquement, pour violation des données. 

Une menace déjà identifiée, un passage à l'action

Dès 2024, la CNIL alertait sur la hausse de 20% des notifications de violations et la recrudescence des violations de grande ampleur. Elle constatait que les attaquants exploitaient régulièrement les mêmes failles : compromission des identifiants, défaut de détection des intrusions, et implication fréquente des sous-traitants.

Ainsi, même si le nombre de sanctions peut encore sembler marginal au regard du nombre de notifications pour violation de données (5 629 en 2024), en l’espace de deux mois, quatre lourdes sanctions ont été prononcées, visant responsables de traitement et sous-traitants :

• 1,7 M€ contre un éditeur de progiciels dans l'action sociale (décembre 2025) ;
• 1 M€ contre un sous-traitant marketing d'une plateforme de streaming (décembre 2025).
• 5 M€ contre l'opérateur public en charge de l'emploi (janvier 2026) ;
• 42 M€ contre un FAI majeur (janvier 2026) ;

A quoi s’attendre en 2026?

Cette dynamique s'inscrit dans le prolongement du plan stratégique 2025-2028 de la CNIL dans lequel la cybersécurité constitue l’un des quatre axes et des consignes données dès le 30 avril 2025 en matière de renforcement des mesures de sécurité, notamment une gestion rigoureuse des identités et des accès, une journalisation et analyse en temps réel des flux réseaux, une sensibilisation régulière des collaborateurs à la sécurité et un meilleur encadrement de la sécurité avec les sous-traitants directs et ultérieurs.

Plus spécifiquement, la CNIL exige désormais des entreprises détenant des bases de clients/prospects et usagers comptant plusieurs millions de personnes, la mise en œuvre d’une authentification multi-facteurs pour leurs employés, partenaires, sous-traitants et autres intervenants accédant à distance à la base, et les invite à s’appuyer sur les recommandations déjà publiées par la CNIL et par l’ANSSI. 

Le respect de cette exigence par ces entreprises fera l’objet de contrôles par la CNIL dès 2026 et pourra conduire à l’ouverture d’une procédure de sanction en cas d’absence de mesure d’authentification multi-facteur. 

Pour avoir accès au bilan 2025 de la CNIL Sanctions et mesures correctrices : la CNIL présente le bilan 2025 | CNIL – pour avoir accès aux recommandations CNIL sur l’authentification multi-facteur: https://cnil.fr/fr/recommandation-mfa