Dans son bilan annuel pour l’année 2025, la CNIL revient sur ses missions d’accompagnement dans un contexte d’entrée en application progressive du règlement sur l’intelligence artificielle (IA) mais aussi d’enjeux de cybersécurité touchant de plus en pus fréquemment les associations, les entreprises, les collectivités ou encore les ministères.
Le bilan 2025 de la Commission nationale de l’informatique et des libertés (CNIL) a été remis le 18 mai 2026. Vie publique avait présenté, en février 2026, un premier bilan des sanctions et mesures correctrices faisant état d’un record en matière d’amendes. Le bilan général revient sur les autres missions de la CNIL et sur les thématiques fortes ayant marqué l’année 2025.
Quels faits marquants en 2025 ?
Parmi les thématiques marquantes au cours de l’année 2025, le bilan de la CNIL relève :
- l’entrée en vigueur progressive du règlement sur l’intelligence artificielle ;
- la hausse des violations de données personnelles ;
- la protection des mineurs dans l’univers numérique.
Dans un contexte d’élections municipales ayant eu lieu en mars 2026, l’année 2025 a également été marquée par la réactivation de l’observatoire des élections avec la prise en compte d’un nouveau règlement européen qui s’applique depuis le 10 octobre 2025 en matière de respect des données personnelles, de publicité à caractère politique en ligne, de consentement obligatoire de l’internaute, d’interdiction du profilage à partir de données sensibles ou encore d’interdiction de ciblage des mineurs de moins de 17 ans…
Sept consultations ont également été menées au cours de l’année sur des sujets émergents comme les données de localisation des véhicules connectés, la conformité et la sécurité des dossiers médicaux, le traitement des organismes de logement social, les études de solvabilité pour l’obtention d’un crédit…
Une action à l’international
En termes de coopération internationale, la CNIL signale le travail effectué en 2025 avec le Comité européen de la protection des données (CEPD) pour faciliter la mise en conformité des pratiques avec le règlement général sur la protection des données (RGPD). En 2026, alors que la France assure la présidence des pays du G7, la CNIL accueillera en juin une table ronde des autorités de protection des données des pays du G7.
Une hausse notable des violations de données en 2025
Le bilan revient sur la forte hausse des notifications reçues par la CNIL pour violation de données, même si une partie importante de cette hausse est due à deux attaques majeures visant deux éditeurs de solutions numériques, l’un officiant dans le domaine du conseil patrimonial et l’autre dans celui de la santé libérale (11 635 notifications sur un total de 17 802 contre seulement 5 630 notifications en 2024). Hormis ces deux attaques, la hausse des notifications reste malgré tout de 9,5% en 2025 par rapport à 2024 avec, en 2025, 6 167 violations.
Une quarantaine de violations de données susceptibles de toucher plus d’un million de personnes ont été notifiées en 2025 (contre une trentaine en 2024). Le premier secteur touché est l’administration publique, devant le secteur de la santé humaine et de l’action sociale et celui des activités financières et d’assurance.
Source : Vie publique, publié le 26 mai 2026
Pour en savoir plus : Violations massives de données personnelles : les préconisations de la CNIL – Vie publique, publié le 05 février 2025
