Le rapport annuel 2025 de la CNIL confirme que les données personnelles sont devenues un terrain de crise, de fraude, de cybersécurité, d’intelligence artificielle et de souveraineté opérationnelle. Avec plus de 20 000 plaintes, 6 167 violations de données retenues dans son bilan consolidé, 83 sanctions et près de 487 millions d’euros d’amendes, l’autorité française affiche une activité intense. Mais le rapport révèle aussi une tension sous-jacente, car la CNIL voit ses missions exploser plus vite que ses moyens.
Premier point important : les particuliers saisissent de plus en plus la CNIL. En 2025, l’autorité a, en effet, reçu 20 150 plaintes, contre 17 772 en 2024, soit une hausse supérieure à 10 %. Elle en a traité 18 123. Les plaintes portent d’abord sur les télécoms, Internet et les réseaux sociaux, qui concentrent 29 % des saisines, devant le travail 23 %, puis le commerce et l’immobilier 19 %. Ce classement montre que les tensions autour des données se jouent dans les usages les plus banals, les relations de travail, les plateformes, les comptes clients, les services en ligne.
Côté violations de données, la CNIL a été notifiée de 17 802 violations en 2025, contre 5 630 en 2024. Elle a toutefois choisi d’exclure deux incidents massifs ayant généré à eux seuls 11 635 notifications, afin de ne pas fausser la tendance. Même corrigé, le bilan reste préoccupant : 6 167 violations retenues, soit +9,5 % en un an. Le piratage représente 50 % des incidents déclarés. Suivent les envois de données au mauvais destinataire 13 %, les vols ou pertes de matériel et de données 7 %, et les publications non intentionnelles d’informations 7 %.
Les secteurs les plus exposés sont eux aussi révélateurs : administration publique 19 %, santé et action sociale 15 %, activités financières et assurance 12 %, activités spécialisées, scientifiques et techniques 9 %, commerce 8 %. La CNIL recense aussi une quarantaine de violations susceptibles de concerner plus d’un million de personnes, contre une trentaine en 2024. Les grandes bases de données sont ainsi devenues des cibles structurelles, et les prestataires restent souvent le maillon faible.
Sanctions record, mais pas forcément répression de masse
Côté contrôles et sanctions, la CNIL a mené 323 contrôles en 2025, dont 165 sur place, 126 en ligne, 27 sur pièces et 5 sur audition. Quatre priorités ont structuré environ 30 % de cette activité : la collecte de données par les applications mobiles, la cybersécurité des collectivités territoriales, les données de l’administration pénitentiaire et le droit à l’effacement.
Le nombre de sanctions reste stable : 83 sanctions en 2025, contre 87 en 2024. Mais le montant des amendes change d’ordre de grandeur : 486,8 millions d’euros, contre 55,2 millions l’année précédente. Cette explosion tient surtout à deux dossiers cookies : 325 millions d’euros contre Google et 150 millions d’euros contre Shein. À elles seules, ces deux sanctions représentent près de 98 % du montant total des amendes. Quelques dossiers emblématiques font donc grimper le compteur, pendant que l’activité répressive reste relativement stable.
Le rapport insiste aussi sur la cybersécurité. Elle représente environ un tiers des contrôles, un quart des mesures correctrices et près de 30 % des sanctions. Les manquements restent classiques : mots de passe faibles, comptes partagés, accès mal protégés, sous-traitants insuffisamment encadrés, journalisation insuffisante. Comprenez par là que beaucoup d’organisations continuent de perdre des données pour des raisons connues, documentées et évitables.
IA, mineurs, DPO : la CNIL devient un régulateur numérique généraliste
L’autre grande invitée de ce rapport n’est autre que l’intelligence artificielle. Avec l’entrée en application progressive du règlement européen sur l’IA, la CNIL se positionne au-delà de son rôle historique de gardienne des données personnelles. Elle devient aussi une autorité appelée à intervenir sur certains systèmes d’IA à haut risque, notamment dans la biométrie, l’emploi, la migration ou les usages répressifs.
En 2025, elle a publié 13 fiches pratiques IA et une liste de vérifications pour aider les concepteurs et développeurs à articuler RGPD et systèmes d’IA. Le rapport souligne aussi que 60 % des DPO se disent souvent impliqués dans des projets d’IA. La conformité IA ne restera donc pas cantonnée aux directions innovation ou aux juristes spécialisés. Elle va mécaniquement entrer dans le quotidien des DPO, RSSI, directions métiers et responsables de traitement.
La protection des mineurs occupe également une place centrale. La CNIL a mené 266 actions de sensibilisation sur le terrain, dont 73 ciblant des mineurs, et revendique plus de 20 000 personnes sensibilisées. Elle a aussi lancé FantomApp, une application destinée aux 10-15 ans pour les aider à protéger leurs données, comprendre leurs droits et réagir face au cyberharcèlement, au vol de compte ou aux tentatives d’arnaque.
Une autorité plus sollicitée, mais sous contrainte
La CNIL est de plus en plus sollicitée, mais ses moyens restent limités. Elle compte 303 agents en 2025 et dispose d’un budget de 30,2 millions d’euros, dont environ 26 millions pour la masse salariale et 4,2 millions pour les dépenses de fonctionnement, d’investissement et d’intervention. Elle a bénéficié de 6 créations de postes en 2025, mais le rapport indique qu’aucune création de poste n’a été obtenue pour 2026, malgré l’accroissement des missions liées notamment à l’IA et aux nouveaux règlements européens. Plus de 87 % du budget de fonctionnement est consacré à des charges incompressibles, laissant environ 500 000 euros de marge de manœuvre pour financer des projets innovants.
La CNIL est donc attendue partout (plaintes, fuites de données, IA, cookies, mineurs, collectivités, DPO, sous-traitants, coopération européenne, cybersécurité…), mais les chiffres montrent une institution prise dans un effet ciseau. A savoir, plus de missions, plus d’incidents, plus de demandes, sans progression équivalente des ressources.
Reste maintenant à savoir combien de temps une autorité peut absorber l’expansion continue du risque numérique avec des moyens qui progressent si lentement…
