La France a recensé 6 167 violations de données personnelles en 2025, soit une hausse de 9,5 % par rapport à 2024, selon le rapport annuel de la Commission nationale de l'informatique et des libertés (Cnil) publié lundi. Le rythme ne ralentit pas : au premier trimestre 2026 seulement, plus de 2 730 incidents ont déjà été signalés.
Près de la moitié de ces violations sont imputables à des actes de piratage. Les secteurs les plus touchés sont l'administration publique, la santé, et les activités financières et d'assurance.
Ces chiffres officiels ne reflètent pourtant pas toute l'étendue du phénomène. Les attaques visant les logiciels Weda et Harvest, bien qu'il s'agisse dans chaque cas d'un incident unique, ont à elles seules généré plus de 11 600 notifications distinctes de la part d'entreprises clientes. La Cnil précise que ces cas sont exclus de ses statistiques globales. Des fédérations sportives, des chaînes hôtelières et l'Agence nationale des titres sécurisés (ANTS) ont aussi subi des fuites de données significatives ces derniers mois.
« Personne n'est épargné », a averti Marie-Laure Denis, présidente de la Cnil. Elle pointe la vulnérabilité des prestataires externes, souvent moins bien protégés que les organismes qu'ils servent, et le rôle croissant de l'intelligence artificielle dans l'industrialisation des cyberattaques : automatisation des opérations, personnalisation des tentatives de fraude par recoupement de données volées.
Face à cette progression, la Cnil annonce un renforcement de ses contrôles et de ses sanctions en matière de cybersécurité dès 2026.
6 commentaires
On a vécu des décennies sans donner notre nom à personne pour faire une démarche simple. Aujourd'hui tout est numérique, tout est enregistré quelque part, et apparemment tout peut fuir. Je me demande si on a vraiment mesuré ce qu'on a accepté sans vraiment le choisir.
Les chaînes hôtelières mentionnées dans l'article, ça me touche directement, lé pa fasil quand tu travailles avec des partenaires hébergeurs et que tu leur confies des infos sur tes groupes de randonneurs. J'ai des clients qui viennent de loin, qui partagent leurs passeports, leurs coordonnées, et on n'a aucune visibilité sur ce que font les prestataires avec tout ça.
Est-ce qu'il y a des données sur les violations qui touchent spécifiquement les TPE et startups ? Parce que dans mon master on parle souvent de cybersécurité comme si c'était un problème de grands groupes, mais là on voit que même les fédérations sportives sont touchées.
Ça m'interpelle directement parce que je stocke des données clients pour ma boutique en ligne. J'avais mis en place un minimum côté RGPD mais honnêtement ce chiffre de 6 000 violations me pousse à revoir tout ça sérieusement. Le truc le plus flippant dans l'article c'est l'IA qui personnalise les tentatives de fraude, ça veut dire que même les petites structures e-commerce comme la mienne sont des cibles crédibles maintenant.
L'ANTS qui fuite des données, les hôpitaux qui se font pirater, et pendant ce temps on nous bassine avec la dématérialisation obligatoire de tout et n'importe quoi. On a jamais demandé l'avis des travailleurs là-dedans. C'est nos données, nos fiches de paye, nos droits qui se retrouvent dans la nature, et les responsables vont juste annoncer un "renforcement des contrôles" comme si ça suffisait.
En métropole on entendait déjà beaucoup parler de ça, mais voir les chiffres écrits noir sur blanc ça fait quand même quelque chose. Ce qui me frappe c'est le point sur les prestataires externes, c'est exactement le vecteur d'attaque dont on parlait dans mon ancienne boîte à Nantes. Les grandes structures sécurisent leurs propres systèmes mais oublient que leurs sous-traitants sont souvent la porte d'entrée. Le cas Weda dans la santé illustre ça parfaitement.