La CNIL a publié son rapport annuel 2025, dressant le bilan d’une année particulièrement intense pour la protection des données personnelles. Hausse record des plaintes, montant inédit des sanctions, multiplication des violations de données, régulation de l’intelligence artificielle et renforcement des contrôles en matière de cybersécurité : l’année 2025 confirme que la conformité au RGPD demeure un enjeu central pour les entreprises, les administrations et l’ensemble des professionnels traitant des données personnelles.
Chaque année, ce rapport permet à la CNIL de revenir sur ses grandes missions : informer et protéger le public, accompagner les professionnels et les pouvoirs publics, anticiper les usages numériques de demain, mais aussi contrôler et sanctionner les manquements aux règles applicables.
En 2025, l’autorité a dû faire face à une hausse importante de son activité, dans un contexte marqué par des risques numériques de plus en plus élevés. Cette évolution conduit la CNIL à renforcer son action, tout en poursuivant son rôle d’accompagnement auprès des acteurs publics et privés.
🟠 Un accompagnement renforcé des professionnels
La CNIL ne se limite pas à une mission de contrôle et de sanction. Elle joue également un rôle important d’accompagnement des professionnels, afin de leur permettre d’intégrer la protection des données dès la conception de leurs projets.
En 2025, elle a ainsi lancé sept consultations publiques sur des thématiques variées, parmi lesquelles les véhicules connectés, les dossiers médicaux, l’octroi de crédit, les traceurs sur Internet ou encore le logement social. Cette méthode permet à l’autorité d’élaborer des recommandations adaptées aux pratiques concrètes des professionnels concernés.
La CNIL a également traité 1 351 demandes de conseil, rendu 90 avis sur des projets de loi ou de textes réglementaires, principalement à la demande du Gouvernement, et instruit 539 demandes d’autorisation en santé, dont 406 dossiers de recherche en santé.
Elle a par ailleurs accompagné six projets innovants dans le secteur de la silver économie, dans le cadre de son dispositif de « bac à sable ». Cette démarche illustre la volonté de la CNIL de ne pas freiner l’innovation, mais de l’encadrer afin qu’elle reste compatible avec les exigences du RGPD.
🟠 Une hausse record des plaintes reçues par la CNIL
L’année 2025 a été marquée par un nouveau record de plaintes. La CNIL a reçu 20 150 plaintes, soit une hausse de 10 % par rapport à 2024.
Ces plaintes concernent des situations très concrètes : relations de travail, commerce, immobilier, réseaux sociaux, atteintes à la vie privée ou encore violations de données. Environ 1 900 plaintes portent directement sur des incidents de sécurité.
Cette hausse traduit une vigilance accrue des personnes concernées. Les particuliers connaissent mieux leurs droits et sollicitent davantage la CNIL lorsqu’ils estiment que leurs données ne sont pas correctement protégées ou que leurs demandes ne sont pas respectées.
Pour les professionnels, ce constat est important. Le risque de contrôle ou de sanction ne vient pas uniquement de l’initiative de la CNIL : il peut aussi résulter d’une plainte individuelle, d’un signalement ou d’un incident de sécurité mal géré.
La CNIL poursuit également son action dans un cadre européen. En 2025, elle a transmis plus de 230 plaintes transfrontalières et répondu à environ 600 sollicitations de ses homologues européens, ce qui confirme l’importance de la coopération entre autorités nationales de protection des données.
🟠 Contrôles et sanctions : un montant d’amendes inédit
En 2025, la CNIL a mené 323 contrôles et rendu 259 décisions, dont 83 sanctions, pour un montant total de près de 487 millions d’euros d’amendes.
Ce montant constitue un niveau inédit pour l’institution. Il s’explique notamment par deux sanctions particulièrement importantes, mais témoigne plus largement du renforcement de l’action répressive de la CNIL.
Les contrôles ont porté sur des sujets variés : cybersécurité, respect des droits des personnes, dispositifs vidéo, traceurs en ligne, surveillance des salariés ou encore conformité des traitements mis en œuvre par des organismes publics et privés.
La procédure simplifiée, mise en place en 2022, permet également à la CNIL d’agir plus rapidement dans certains dossiers moins complexes. Elle peut ainsi sanctionner des manquements commis par des entreprises de tailles et de secteurs très différents, et pas seulement par les grands acteurs du numérique.
Ce bilan rappelle que la conformité au RGPD ne peut pas rester théorique. Les organismes doivent être en mesure de démontrer que les mesures annoncées sont réellement appliquées : registre des traitements, information des personnes, gestion des droits, sécurité des données, encadrement des sous-traitants et documentation des choix réalisés.
🟠 La cybersécurité au cœur des priorités de la CNIL
La cybersécurité constitue l’un des principaux enseignements du rapport annuel 2025. La CNIL a reçu 6 167 notifications de violations de données, soit une hausse de 9,5 % par rapport à 2024. Un incident déclaré sur deux relève d’un piratage informatique.
Les violations de données ne résultent toutefois pas uniquement d’attaques externes. Elles peuvent aussi provenir d’erreurs internes, comme l’envoi de données au mauvais destinataire, la perte de matériel ou une mauvaise gestion des accès. La CNIL souligne également que les violations sont de plus en plus massives et qu’elles impliquent fréquemment des prestataires.
Cette situation conduit l’autorité à renforcer très fortement son action. En 2026, la CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité.
Pour les professionnels, le message est clair : la sécurité des données personnelles est une obligation juridique à part entière, prévue notamment par l’article 32 du RGPD. Les organismes doivent mettre en œuvre des mesures techniques et organisationnelles adaptées aux risques : limitation des accès, gestion des habilitations, mots de passe robustes, chiffrement, sauvegardes, journalisation, tests de sécurité, encadrement des sous-traitants et procédures de réaction en cas d’incident.
La cybersécurité ne peut donc plus être traitée comme un simple sujet technique. Elle devient un élément central de la conformité RGPD et un facteur direct de responsabilité.
🟠 Intelligence artificielle : concilier innovation et protection des données
Le rapport annuel 2025 confirme également la montée en puissance de la CNIL sur les sujets liés à l’intelligence artificielle.
Dans le cadre du règlement européen sur l’intelligence artificielle, la CNIL est déjà désignée comme autorité de contrôle des usages interdits. Elle devrait également être amenée à exercer des missions de surveillance pour certains systèmes d’IA à haut risque, notamment dans des domaines sensibles comme la biométrie, l’emploi, l’éducation, la migration ou les usages répressifs.
En parallèle, la CNIL poursuit son accompagnement des concepteurs et développeurs de systèmes d’IA. Elle a publié plusieurs ressources pratiques destinées à aider les acteurs concernés à concilier innovation technologique et respect du RGPD.
Les projets d’intelligence artificielle soulèvent en effet des questions importantes : quelles données sont utilisées pour entraîner les modèles ? Sur quelle base légale reposent les traitements ? Les personnes concernées sont-elles correctement informées ? Les données sont-elles sécurisées ? Le fonctionnement du système est-il suffisamment documenté ?
Ces enjeux montrent que l’IA ne peut pas être pensée uniquement sous l’angle de la performance. Elle doit aussi intégrer, dès sa conception, des garanties en matière de transparence, de sécurité et de protection des droits fondamentaux.
🟠 Une sensibilisation accrue du grand public
La CNIL a également poursuivi ses actions de sensibilisation auprès du grand public, avec une attention particulière portée aux mineurs.
En 2025, elle a répondu à 35 403 appels et à 14 654 demandes d’information écrites. Elle a également mené 266 actions de terrain, permettant de sensibiliser plus de 20 000 personnes à la protection des données personnelles.
Ces actions prennent différentes formes : interventions dans les établissements scolaires, présence lors d’événements publics, partenariats avec des médias ou encore création d’outils pédagogiques. L’année 2025 a notamment été marquée par le lancement de FantomApp, une application destinée à aider les adolescents à mieux se protéger sur les réseaux sociaux.
Cette dimension pédagogique est essentielle. La protection des données ne concerne pas uniquement les professionnels : elle suppose aussi que les particuliers, et notamment les plus jeunes, comprennent mieux les risques liés à l’exposition numérique et au partage d’informations personnelles.
Conclusion
Le rapport annuel 2025 de la CNIL confirme que la protection des données personnelles est devenue un enjeu stratégique pour les entreprises, les administrations et les acteurs du numérique.
La hausse des plaintes, le niveau inédit des sanctions, la multiplication des violations de données et le développement de l’intelligence artificielle imposent aux professionnels une vigilance renforcée.
En 2026, la cybersécurité devrait occuper une place centrale dans l’action de la CNIL. Les organismes devront donc être en mesure de démontrer, concrètement, que la protection des données personnelles est intégrée à leurs pratiques quotidiennes, à leurs outils et à leur gouvernance interne.