Notifications en hausse, attaques massives, exposition croissante des citoyens, etc. Huit ans après l’entrée en application du RGPD, la protection des données personnelles semble plus fragile que jamais. Faut-il y voir l’échec du règlement européen, une simple hausse de la transparence, ou la preuve que les organisations n’ont jamais réellement transformé leurs pratiques de sécurité ?
Le Centre des monuments nationaux vient à son tour d’être touché par une cyberattaque par ransomware. Selon les premiers éléments, les données bancaires ne seraient pas concernées, mais des données liées aux comptes clients, à l’historique d’achats ou aux coordonnées pourraient l’être. C’est devenu presque banal. Et c’est précisément ce qui est inquiétant. Car huit ans après l’entrée en application du RGPD, la promesse d’une meilleure protection des données personnelles semble, à première vue, démentie par l’actualité.
Et ce constat est difficile à contester. En France, la CNIL a été notifiée de 5 629 violations de données personnelles en 2024, soit une hausse de 20 % par rapport à 2023. Le bilan annuel consolidé 2025 reste à confirmer. Plus préoccupant encore, le nombre de violations touchant plus d’un million de personnes a doublé en un an. Les attaques massives visant France Travail, Free ou des opérateurs du tiers payant ont rappelé que la donnée personnelle est devenue une cible centrale.
Ce que les chiffres ne disent pas
Faut-il en conclure que le RGPD a échoué ? Pas tout à fait. Le règlement n’a pas provoqué l’explosion des fuites. Il a d’abord rendu les incidents plus visibles. En effet, depuis 2018, les organisations ont l’obligation de notifier certaines violations à l’autorité de contrôle, en principe dans un délai de 72 heures. Avant cela, une partie des incidents restait discrète, minimisée ou tout simplement tue. Le RGPD a donc mis sous lumière un phénomène déjà existant, sans pour autant suffire à le contenir.
La CNIL, elle-même, invite d’ailleurs à lire les chiffres avec prudence. Le volume de notifications ne correspond pas mécaniquement au nombre réel d’incidents distincts. Un même piratage peut donner lieu à plusieurs déclarations, notamment lorsqu’un prestataire compromis informe plusieurs clients, qui notifient ensuite à leur tour. Autrement dit, la hausse des notifications traduit à la fois une pression cyber plus forte et une mécanique réglementaire qui rend désormais les crises visibles.
Le vrai problème est ailleurs
Ce que révèle la succession des fuites, ce n’est pas l’inutilité du RGPD, mais la faiblesse de son appropriation opérationnelle. Trop d’organisations ont traité la protection des données comme un exercice de conformité documentaire. Registres de traitements, mentions d’information, bandeaux cookies, procédures internes et clauses contractuelles ont souvent occupé l’essentiel de l’effort. Dans le même temps, la sécurité réelle des environnements, le cloisonnement des accès, la limitation des copies, la réduction de la durée de conservation, la supervision des prestataires ou le durcissement des systèmes n’ont pas toujours suivi au même rythme. Un tiers des sanctions prononcées par la CNIL en 2024 visait d’ailleurs des manquements à l’obligation de sécurité.
Le contexte général, lui, s’est nettement dégradé. L’ENISA, l’agence européenne de cybersécurité, classe parmi les principales menaces les attaques DDoS, les ransomwares et les menaces sur les données. Dans l’administration publique européenne, les violations de données ont représenté 17,4 % des incidents recensés, tandis que les ransomwares demeurent très présents, souvent avec accès non autorisé à des informations sensibles. Le problème n’est donc pas seulement statistique ou médiatique. Il est structurel. Les organisations sont plus numérisées, plus interconnectées, plus dépendantes d’écosystèmes complexes et plus exposées à des attaquants industrialisés.
Vers une nouvelle discipline autour des données
Le RGPD a imposé une discipline, renforcé les droits des personnes, obligé les acteurs à documenter leurs pratiques et rendu les violations plus difficiles à cacher. Mais la conformité n’a pas suffi à transformer la donnée personnelle en actif à haut risque, traité avec le niveau de protection qu’elle exige. Beaucoup d’organisations continuent à collecter trop, conserver trop longtemps et partager trop largement. Tant que cette logique persistera, les fuites continueront à prospérer.
In fine, non, le RGPD n’a pas créé la crise. Non, il n’a pas non plus réglé le problème. L’Europe a renforcé l’obligation de protéger les données personnelles, mais une partie des acteurs ne les gouverne toujours pas comme un passif critique. La donnée personnelle reste encore trop souvent considérée comme une ressource d’exploitation avant d’être traitée comme une responsabilité de sécurité.
