Alerte Actualité RGPD – Mai 2026

Le 18 mai 2026, la CNIL a publié son rapport annuel d’activité de l’année 2025 (ici). La Commission revient sur une année particulièrement soutenue, marquée par l’accompagnement des professionnels, le contrôle des pratiques, la sensibilisation du public, ainsi que par des enjeux croissants liés à l’intelligence artificielle, à la cybersécurité et à la coopération européenne en matière de protection des données personnelles.

1. Contexte

Dans son rapport, la CNIL dresse le bilan des actions qu’elle a menées autour de ses quatre axes de missions principaux :

• informer et protéger le grand public
• accompagner et conseiller les professionnels et les pouvoirs publics
• anticiper et innover pour construire le numérique de demain
• contrôler et sanctionner les manquements RGPD.

Cette année, le rapport de la CNIL fait acte d’un contexte particulier, marqué notamment par une hausse très importante des plaintes reçues, un montant total d’amendes inédit, un record de notifications de violations de données mais également par les enjeux juridiques et organisationnels liés à l’entrée en application progressive du Règlement européen sur l’IA.

2. Eléments clés du rapport annuel 2025

• Chiffres clés de l’année 2025

L’année 2025 a été marquée par une hausse record du nombre de plaintes reçues par la CNIL, qui atteint 20 150 saisines, soit une augmentation de 10 % par rapport à l’année précédente. Les réclamations portent principalement sur des manquements à la réglementation applicable en matière de protection des données dans les secteurs du travail, du commerce, de l’immobilier et des réseaux sociaux, tandis qu’environ 1 900 plaintes concernent directement des violations de données personnelles.

Par ailleurs, l’autorité démontre les fruits de sa coopération avec les autres autorités européennes de protection des données et indique notamment avoir transmis plus de 230 plaintes transfrontalières et répondu à 600 sollicitations de ses homologues.

En 2025, la CNIL a réalisé 323 contrôles (comprenant des contrôles sur place, sur pièces, en ligne et sur audition).

Elle a par ailleurs rendu 259 décisions (dont 83 sanctions) pour un montant total record de 486 839 500 euros.

Le rapport revient également sur deux sanctions marquantes prononcées le 1^er septembre 2025 pour des manquements liés à la réglementation applicable aux cookies :

• une amende de 325 millions d’euros prononcée à l’encontre de Google
• une amende de 150 millions d’euros prononcée à l’encontre de Shein

• Violations de données : une explosion des notifications traduisant un renforcement nécessaire des mesures de cybersécurité

L’année 2025 a été marquée par un nombre record de violations de données personnelles.

 La CNIL recense notamment dans son rapport :

• 6 167 notifications de violation adressées en 2025
• une quarantaine de violations de données de grande ampleur (touchant plusieurs millions de personnes) concernant des organismes publics et privés

Selon la CNIL, les violations constatées sont de plus en plus massives, susceptibles d’affecter tous les secteurs d’activité et fréquemment liées à des prestataires ou sous-traitants.

De plus, la CNIL souligne dans son rapport que les attaques entrainant de telles violations de données reposent souvent sur les mêmes modes opératoires :

• usurpation des couples « identifiant + mot de passe » d’utilisateurs légitimes
• défaillance de sécurité informatique d’un sous-traitant
• absence de détection des intrusions par l’organisme avant la mise en vente ou l’exploitation des jeux de données volés

Elle souligne également que 1 incident sur 2 déclaré en 2025 relève d’un piratage, qui demeure la nature d’incident la plus fréquente.

Par ailleurs, l’autorité rappelle qu’en l’absence de mesures de sécurité adéquates, elle peut prononcer une amende allant jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel, le montant le plus élevé étant retenu, conformément à l’article 83 du RGPD.

Elle précise que les manquements en matière de cybersécurité ont constitué en 2025 :

• 1/3 des contrôles réalisés
• 30% des sanctions prononcées

La CNIL ajoute finalement qu’elle travaille en étroite collaboration avec l’ANSSI et le parquet « Cyber » de Paris pour les suites pénales, notamment dans la gestion des cyberattaques les plus graves.

A noter :

• En complément des thématiques identifiées dans son programme de contrôle pour 2026 (recrutement, répertoire électoral unique et fédérations sportives), la CNIL annonce qu’en 2026, 50 % de ses contrôles et actions répressives seront consacrés aux manquements en matière de cybersécurité.
• Les contrôles sont susceptibles de concerner des organismes ayant subi une violation, visés par des plaintes ou évoluant dans des secteurs propices aux traitements massifs de données, y compris sensibles ou hautement personnelles (données de localisation, données bancaires, fichiers de l’État, etc.).
• Dans ce cadre, elle vérifiera notamment le strict respect des exigences en matière de sécurité. Il est donc essentiel pour les responsables de traitement d’anticiper dès maintenant le renforcement de leurs pratiques en la matière.

Recommandations opérationnelles pour les responsables de traitement :

• Sécuriser les accès externes aux systèmes d’information via une authentification multifacteur. La CNIL a notamment publié des recommandations sur les solutions d’authentification multifacteur en avril 2025. Cela permet notamment de prévenir l’usurpation d’un compte protégé uniquement par un mot de passe (80% des violations de grande ampleur constatées en 2024 ont été permises par un tel procédé selon la CNIL).
• Mettre en place des mécanismes de journalisation, d’analyse et de limitation des flux de données transitant au sein du système d’information.
• Reconnaître le rôle central de l’humain dans la sécurité des systèmes d’information, notamment en organisant des actions de sensibilisation régulières et adaptées aux différents profils d’utilisateurs (collaborateurs, développeurs, dirigeants, sous-traitants, etc.).
• Assurer un encadrement contractuel et opérationnel robuste des exigences de sécurité applicables aux sous-traitants et aux traitements qu’ils réalisent.
• Pour la gestion de la sécurité de grandes bases de données, suivre les recommandations de la CNIL publiées en avril 2025.

 

• IA et nouvelles missions de régulation

Le rapport met en avant la montée en puissance du rôle de la CNIL dans la régulation de l’intelligence artificielle. En effet, parallèlement au rôle d’autorité de contrôle des usages interdits de l’IA (article 5 du Règlement sur l’IA) qui lui est accordé, la CNIL se prépare à assumer le rôle d’autorité de surveillance de marché pour certains systèmes d’IA à haut risque au titre du règlement (par exemple concernant la biométrie, la migration, les usages répressifs, l’emploi ou l’éducation), comme elle l’a annoncé dans son programme de travail pour 2026 publié le 7 avril dernier.

Depuis la création d’un service dédié à l’IA en 2023, la CNIL a engagé de nombreux travaux liés aux enjeux de protection des données dans le développement et l’utilisation de l’IA.

En 2025, elle a notamment :

• publié plusieurs recommandations relatives à l’application du RGPD aux systèmes d’IA (notamment par une série de recommandations pour les concepteurs et développeurs de systèmes d’IA)
• participé au Sommet pour l’action sur l’IA organisé à Paris en février 2025
• poursuivi ses travaux sur l’explicabilité et la traçabilité des systèmes d’IA
• développé plusieurs projets d’accompagnement via son « bac à sable » IA

Le rapport souligne également que les DPO sont de plus en plus impliqués dans les projets liés à l’IA : 60 % d’entre eux déclarent intervenir régulièrement sur ces sujets.

• Accompagnement des professionnels

La CNIL a poursuivi le développement d’outils opérationnels destinés aux professionnels afin de faciliter leur mise en conformité.

La CNIL souligne que 7 consultations publiques ont été lancées en 2025, sur des thématiques variées : véhicules connectés, dossiers médicaux, octroi de crédit, traceurs sur Internet ou encore sur le logement social.

Elle ajoute avoir également publié des fiches pratiques et recommandations destinées à accompagner les responsables de traitement dans plusieurs secteurs, notamment concernant :

• les applications mobiles
• l’authentification multifacteur 
• la sécurité des grandes bases de données 
• le sujet de l’affichage des listes scolaires 
• l’utilisation de caméras « augmentées »
• la réutilisation de bases de données 
• les traitements de données opérés par des candidats et partis politiques en période d’élections

Par ailleurs, elle souligne également son accompagnement de six projets innovants en matière de silver économie (économie des seniors) dans le cadre de son « bac à sable ».

Le rapport précise enfin que :

• 1 351 demandes de conseil ont été traitées en 2025
• 539 demandes d’autorisations en santé (recherches, études ou évaluations) ont été instruites, dont 406 en recherche en santé

 

• Sensibilisation de l’écosystème

 

La CNIL a également renforcé ses actions de sensibilisation et d’accompagnement à travers notamment :

• 7 nouveaux webinaires thématiques
• l’extension du MOOC « Atelier RGPD » aux données RH
• un nouveau téléservice dédié aux traitements de données de santé

 

La CNIL indique avoir mené 266 actions de sensibilisation en 2025 ayant permis de sensibiliser plus de 20 000 personnes à la protection des données.

• Protection des mineurs

Le rapport indique qu’une dizaine de mises en demeure ont été adressées à des acteurs ne fournissant pas une information suffisamment claire aux mineurs concernant le traitement de leurs données.

La CNIL a également poursuivi ses actions de sensibilisation à la protection des données des mineurs, notamment à travers :

• la publication d’un manga « L’Agence Privacy »
• l’application FantomApp destinée aux adolescents
• des campagnes de sensibilisation relatives au partage d’images d’enfants sur les réseaux sociaux