RGPD comme un cap

Auditionnée à l’Assemblée, la présidente de la CNIL souligne l’accroissement « sans précédent » de ses missions et du volume de ses activités, alors que son budget est « resté stable ». Elle estime que le nombre de violations de données (« près de 6 000 » en 2024) « devrait au moins doubler en 2025 », mais également que 80 % auraient pu être évitées avec l’authentification multifacteur.

Régulièrement taxé de laxisme, notamment depuis la réapparition de la place de marché (noir) BreachForums en décembre dernier, et l’annonce de très nombreuses violations de données en 2025, le « gendarme des données personnelles » peine à faire respecter son code de la route.

• Le ministère de l’Intérieur piraté, un groupe revendique l’exfiltration du TAJ et du FPR

La CNIL a en effet reçu « près de 6 000 » notifications de violations de données en 2024, « soit 20 % de plus qu’en 2023, et ce chiffre devrait au moins doubler en 2025 », a déclaré Marie-Laure Denis, présidente de la CNIL, lors de son audition à la commission des lois de l’Assemblée, mi-décembre :

« L’intensification de cette menace se reflète aussi dans l’ampleur des violations, qui touche désormais des secteurs de taille importante, dont certains interviennent dans la vie quotidienne des Français – France Travail, certaines fédérations sportives, ou encore des opérateurs de téléphonie. »

« Indépendamment de l’augmentation du nombre de violations de données (+ 20 %) nous sommes préoccupés par l’augmentation du nombre de personnes concernées » ainsi que, pour les entreprises, par le « risque de devoir cesser leur activité », poursuivait-elle : « Il ne faut vraiment pas minimiser les conséquences de ces sujets. D’ailleurs, le sujet de la cybersécurité représente l’un des axes stratégiques de la CNIL pour la période 2025 - 2028 ».

« Nous agissons en amont, en imposant par exemple l’authentification multifacteurs pour les accès à distance aux grandes bases de données dès le 1^er janvier 2026 », précisait-elle : « nous estimons que 80 % des grandes violations de 2024 auraient pu être évitées avec cette mesure », qu’elle avait déjà qualifiée d’ « élémentaire » dans son rapport 2024.

• En France, des fuites massives de données… par manque de « mesures élémentaires »

Les équipes de la CNIL agissent aussi « pendant les violations, en apportant des conseils de premier niveau aux personnes, aux sociétés, aux administrations qui nous notifient une violation de données, en tout cas pour celles qui ne sont pas en lien avec l’Anssi » :

« Nous transmettons, le cas échéant, ces informations au parquet compétent. Enfin, nous sanctionnons : 15 % des sanctions prononcées par la CNIL qui comportent au moins un manquement à des obligations de sécurité et six dossiers importants de manquement à la sécurité ont été transmis à notre formation restreinte pour des décisions attendues au premier semestre 2026. »

Un budget « resté stable » malgré un « accroissement sans précédent » de ses missions

La présidente de la CNIL relevait également que « son budget est resté stable entre 2024 et 2025, et le nombre de ses agents a peu varié », alors que, et au-delà de cette explosion des notifications de violations de données, ses missions ont, dans le même temps, « connu un accroissement sans précédent, principalement en raison de textes européens ».