Violations de données toujours plus nombreuses, sanctions records, hausse continue des plaintes et arrivée des premières obligations liées à l’intelligence artificielle : le rapport annuel 2025 de la CNIL décrit un paysage numérique sous tension.
Les violations de données continuent leur progression
Après une année 2024 déjà marquée par un niveau record, les notifications de violations de données ont encore progressé en 2025. La CNIL a enregistré 6 167 notifications, soit une hausse de près de 10 % par rapport à l’année précédente. L’autorité souligne que les incidents touchent désormais tous les secteurs, des opérateurs télécoms aux administrations publiques en passant par les fédérations sportives.
L’analyse des dossiers fait ressortir plusieurs constantes. Les violations concernent des volumes de données toujours plus importants et impliquent fréquemment des prestataires. La CNIL estime également que de nombreux incidents auraient pu être limités par des mesures de sécurité plus robustes. Au printemps 2025, elle a ainsi appelé les organismes gérant de grandes bases de données à renforcer leurs dispositifs de protection, notamment via l’authentification multifacteur pour les accès distants. Des contrôles dédiés sont prévus tout au long de l’année 2026.
Cette pression se retrouve dans l’activité de contrôle. La CNIL a réalisé 323 contrôles et prononcé 83 sanctions en 2025. Si le nombre de décisions reste proche de celui des années précédentes, leur impact financier atteint un niveau inédit : 486,8 millions d’euros d’amendes ont été infligés au total. Deux dossiers concentrent l’essentiel de ce montant, avec des sanctions de 325 millions d’euros contre Google et de 150 millions d’euros contre Shein pour des manquements liés aux cookies.
Les particuliers saisissent également davantage le régulateur. Le nombre de plaintes reçues a atteint 20 150 en 2025, confirmant une progression continue. Pour la CNIL, cette évolution traduit une meilleure appropriation du RGPD par les citoyens, mais contribue aussi à accroître la charge de traitement et l’activité répressive.
L’intelligence artificielle ouvre un nouveau front de régulation
L’année 2025 marque également l’entrée en application progressive du règlement européen sur l’intelligence artificielle. La CNIL se voit confier plusieurs responsabilités complémentaires : elle conserve son rôle de régulateur des traitements de données personnelles utilisés par les systèmes d’IA, contrôle l’absence de recours à des systèmes interdits, exerce une mission d’alerte au titre de la protection des droits fondamentaux et doit assurer la surveillance d’une partie des systèmes d’IA à haut risque.
Pour préparer cette montée en charge, l’autorité a poursuivi ses travaux engagés dès 2023. Elle a publié plusieurs recommandations destinées à aider les organisations à concilier développement de l’IA et protection des données personnelles, constitué un groupe de travail consacré à son futur rôle d’autorité de surveillance du marché et lancé plusieurs initiatives techniques. Parmi elles figure PANAME, un projet conduit avec l’ANSSI, Inria et le PEReN pour développer des outils d’audit de la confidentialité des modèles d’IA. Un dispositif consacré à la traçabilité des modèles publiés en open source a également été présenté.
La CNIL estime que l’IA modifie déjà les pratiques des organisations. Une étude menée auprès des délégués à la protection des données montre que six sur dix sont régulièrement associés aux projets d’intelligence artificielle et expriment un besoin croissant d’accompagnement, à la fois sur les aspects juridiques et techniques.
Des missions toujours plus nombreuses, des moyens inchangés
Au-delà de l’IA, plusieurs textes européens ont élargi le périmètre d’intervention de la CNIL ces dernières années. Le règlement sur les services numériques (DSA), le Data Governance Act ou encore les nouvelles règles encadrant la publicité politique viennent s’ajouter aux missions historiques liées au RGPD. Cette accumulation de responsabilités renforce le rôle de l’autorité dans la régulation du numérique, mais accroît également la complexité de son action.
La mise en œuvre de ces textes implique en effet une coopération renforcée avec d’autres régulateurs, notamment l’Arcom, l’Arcep ou la DGCCRF. La présidente de la CNIL évoque l’entrée dans une « nouvelle ère », celle de l’interrégulation, où la coordination entre autorités devient une condition essentielle de l’efficacité des contrôles et de la cohérence des décisions.
Cette évolution intervient alors que les ressources de l’institution demeurent limitées. La CNIL comptait 303 agents pour un budget de 30,2 millions d’euros en 2025. Face à la hausse continue des sollicitations, elle a engagé un travail de priorisation interne destiné à identifier les activités les plus critiques et à améliorer son efficacité opérationnelle. Un chantier appelé à se poursuivre en 2026.
