Le régulateur chargé de la protection de la vie privée entend désormais renforcer son action contre les entreprises et organismes jugés insuffisamment sécurisés en matière de données personnelles.
Désormais, 50% des contrôles menés par la Commission nationale de l’informatique et des libertés (CNIL) seront consacrés à la cybersécurité, avec une attention particulière portée aux organismes traitant plus d’un million de données personnelles.
Cette « première historique », selon l’autorité de régulation, s’inscrit dans un dispositif ciblant trois domaines : le recrutement (contrôle du respect du RGPD, notamment pour les systèmes de décision automatisée), le répertoire électoral unique (REU), afin de détecter d’éventuels usages détournés, ainsi que les fédérations sportives (gestion des données de santé, sécurité et informations concernant des mineurs).
Par ailleurs, l’institution prévoit de publier des recommandations portant sur le vote électronique, la sécurisation des communications par messagerie, la vérification d’identité à distance, ainsi que des guides dédiés aux passerelles de filtrage web et aux solutions de détection et de réponse sur les terminaux (EDR).
Une hausse marquée
Ce durcissement des contrôles intervient dans un contexte de multiplication des violations de données, qui atteignent des niveaux sans précédent en France. Le pays a enregistré 6 167 incidents en 2025, soit une progression de 9,5% sur un an, selon le rapport annuel de la CNIL.
« Cela représente une augmentation de 50% sur les trois dernières années », souligne Marie-Laure Denis, présidente de l’institution, citée par Le Parisien. Le phénomène touche des secteurs variés, allant du tourisme aux services publics, en passant par des infrastructures numériques sensibles.
Parmi les entités récemment touchées figurent plusieurs acteurs majeurs du tourisme français — Pierre & Vacances, Belambra et les Gîtes de France — ainsi que l’Agence nationale des titres sécurisés (ANTS), en charge de la délivrance des documents d’identité.
Ce dernier incident a d’ailleurs conduit à l’interpellation d’un adolescent de 15 ans en avril, illustrant une tendance préoccupante selon laquelle une part non négligeable des cyberattaques est le fait de mineurs en France.
« Personne n’est épargné »
Au-delà de leur fréquence, c’est l’exploitation de ces données compromises qui inquiète le plus. Les informations dérobées — noms, adresses, coordonnées bancaires partielles ou complètes — sont revendues sur des forums du dark web, où elles alimentent des fraudes de plus en plus sophistiquées.
Au fil des fuites, les cybercriminels recoupent ces éléments pour reconstituer des profils détaillés, véritables « kits prêts à l’emploi » accessibles à quiconque dispose d’un nom et d’un prénom sur ces plateformes clandestines.
C’est ainsi qu’Amaia, une jeune femme de 28 ans, a perdu 8 000 euros. Un faux conseiller bancaire l’a contactée en possession d’une partie de ses informations personnelles, dont ses coordonnées et des fragments de ses données bancaires. « Forcément, je me sentais en sécurité », témoigne-t-elle auprès de France 24.
Son récit met en lumière le rôle central de la manipulation psychologique — créer un sentiment d’urgence et de panique — dans ces escroqueries, dont l’efficacité ne cesse de croître. « Personne n’est épargné », alerte Marie-Laure Denis.