RAPPORT CNIL 2025 | CYBERSECURITE & INTELLIGENCE ARTIFICIELLE
RAPPORT CNIL 2025 | CYBERSECURITE & IA | MFA OBLIGATOIRE, JOURNALISATION, MOTS DE PASSE RENFORCÉS : LA CNIL LÂCHE LES CONTRÔLEURS EN 2026 — ÊTES-VOUS PRÊTS ?
CYBERSECURITE CONSEILS AUX PERSONNES CONCERNEES CONSEILS AUX RT
AVERTISSEMENT LIMINAIRE
Le présent document synthétise les enseignements pratiques tirés du Rapport annuel CNIL 2025 et des principales décisions de sanction rendues par la formation restreinte de la CNIL en 2025 et 2026 qui concernent, directement ou indirectement, l’obligation de sécurité des traitements. Il s’adresse aux responsables de traitement, à leurs DPO et à leurs équipes juridiques et techniques.
I. LES DÉCISIONS DE RÉFÉRENCE EN MATIÈRE DE SÉCURITÉ
Le tableau ci-dessous récapitule les décisions CNIL 2025-2026 les plus significatives en matière de sécurité des données :
| Référence | Organisme | Manquement principal | Amende | Date |
|---|---|---|---|---|
| SAN-2026-001 | FREE MOBILE | Art. 32 RGPD (absence MFA/VPN, journalisation inefficace) + Art. 5-1-e + Art. 34 | 27 M€ + injonction | 8 janv. 2026 |
| SAN-2026-002 | FREE | Art. 32 RGPD (absence MFA/VPN, détection comportements suspects) + Art. 34 | 15 M€ + injonction | 8 janv. 2026 |
| SAN-2026-003 | FRANCE TRAVAIL | Art. 32 RGPD (ingénierie sociale, journalisation, MFA, habilitations) | 5 M€ + injonction | 22 janv. 2026 |
| SAN-2025 (proc. simpl.) | 14 organismes | Art. 32 RGPD (mots de passe insuffisants, comptes partagés) | Amendes ≤ 20 000 € | Tout au long de 2025 |
| Contrôles collectivités | 15 collectivités territoriales | Art. 32 RGPD (OS obsolètes, absence RGS, certificats non qualifiés) | Mises en demeure | 2025 |
II. LES OBLIGATIONS LÉGALES — RAPPEL DU CADRE NORMATIF
L’article 32 du RGPD : une obligation de moyens renforcée
L’article 32, paragraphe 1, du RGPD dispose que, « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Points d’attention critiques :
-
Il s’agit d’une obligation de moyens, non de résultat : la seule survenance d’une violation ne caractérise pas en elle-même un manquement (CJUE, 14 déc. 2023, Natsionalna agentsia za prihodite, C-340/21). Mais l’inverse est tout aussi vrai : l’absence de violation ne prouve pas l’absence de manquement. Des défauts de sécurité peuvent être sanctionnés en raison du risque qu’ils font peser, indépendamment de leur réalisation effective.
-
L’appréciation est contextuelle : la CJUE a posé une méthode d’analyse en deux temps — (i) identification des risques induits par le traitement et de leurs conséquences potentielles ; (ii) vérification de l’adéquation des mesures mises en œuvre à ces risques identifiés.
-
Les recommandations de la CNIL et de l’ANSSI ne sont pas contraignantes mais créent une forte présomption : leur non-respect constitue un indice sérieux d’insuffisance des mesures, que le responsable de traitement devra renverser en démontrant l’existence de mesures alternatives offrant un niveau de protection équivalent (CE, 30 avr. 2024, Commune de Beaucaire, n° 472864, pt 11).
-
Le principe de défense en profondeur (ANSSI) est désormais un standard de conformité exigible au titre de l’article 32 : il consiste à ne pas faire reposer la sécurité sur un seul élément mais sur un ensemble cohérent de mesures, de sorte que la défaillance d’une couche soit compensée par au moins une seconde couche de sécurité.
L’article 33 : notification à la CNIL dans les 72 heures
Toute violation de données présentant un risque pour les droits et libertés des personnes doit être notifiée à la CNIL dans un délai de 72 heures. La notification tardive ou incomplète est en elle-même un manquement sanctionnable. Le responsable de traitement doit documenter toutes les violations, y compris celles ne donnant pas lieu à notification (registre des violations).
L’article 34 : communication aux personnes concernées
Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit les en informer sans délai. Cette communication doit être substantielle — elle doit décrire la nature de la violation, ses conséquences probables et les mesures prises pour y remédier — et non pas être une simple formalité informative. La décision FREE MOBILE (SAN-2026-001) a sanctionné le fait que le courriel de notification ne comportait ni description des conséquences probables, ni description des mesures de protection que les personnes devaient prendre.
L’article 5-1-e : limitation de la conservation
Les données personnelles ne doivent pas être conservées au-delà de la durée nécessaire aux finalités du traitement. La décision FREE MOBILE a sanctionné la présence de données relatives à 15 millions de contrats résiliés depuis plus de cinq ans, dont 3 millions depuis plus de dix ans, dans la base active. Les contraintes techniques d’architecture ne constituent pas une cause d’exonération (SAN-2026-001 : « ces difficultés ou défaillances techniques n’exonèrent pas la société de sa responsabilité »).
III. LES MESURES TECHNIQUES INCONTOURNABLES
1. L’authentification multifacteur (MFA) — désormais quasi-obligatoire
La recommandation CNIL n° 2025-019 du 20 mars 2025 relative à l’authentification multifacteur constitue le texte de référence. Elle préconise de recourir à la MFA pour :
– les traitements de données sensibles au sens de l’article 9 du RGPD ;
– les traitements ou opérations à risque pour les personnes concernées ;
– tout accès distant au système d’information via VPN ou tout autre canal d’accès externe.
Leçon des affaires FREE/FRANCE TRAVAIL : dans les deux cas, l’attaquant a obtenu les identifiants de connexion par ingénierie sociale et s’est connecté au VPN sans que la MFA ne soit activée. FREE MOBILE avait pourtant un dispositif MFA disponible mais non activé — circonstance particulièrement aggravante. La MFA aurait rendu l’attaque extrêmement difficile, voire impossible.
Mise en œuvre pratique :
– Activer la MFA sur tous les accès distants au système d’information, sans exception ;
– Choisir des facteurs d’authentification robustes (clé physique FIDO2 > OTP SMS > application d’authentification) ;
– Prévoir une procédure de récupération sécurisée en cas de perte du second facteur ;
– Documenter le choix des facteurs et les modalités de conservation des données associées.
2. La journalisation active — au-delà de la simple collecte des logs
La recommandation CNIL n° 2021-122 du 14 octobre 2021 relative à la journalisation pose les exigences de base. Les affaires FREE MOBILE et FRANCE TRAVAIL ont précisé que « la simple collecte des données de journalisation ne suffit pas à sécuriser un système d’information » et que « le dispositif de journalisation est efficace uniquement si une entité est en mesure de traiter les informations enregistrées dans les journaux afin d’être capable de détecter rapidement un comportement suspect ».
Obligations concrètes :
– Mettre en place un système de détection automatique des comportements anormaux (SIEM ou équivalent) avec règles de corrélation adaptées au profil de risque du traitement ;
– Constituer ou externaliser une équipe d’analyse capable de traiter les alertes en temps réel, y compris en dehors des heures ouvrées ;
– Fixer des seuils d’alerte automatiques sur les volumes de données consultées/exportées, les horaires de connexion inhabituels, les taux d’erreur élevés ;
– Analyser régulièrement les traces pour détecter la survenance d’un incident.
Dans l’affaire FRANCE TRAVAIL : une activité anormale avait été détectée le 29 février 2024 mais n’a été prise en compte que le 4 mars 2024 — délai de 4 jours durant lesquels l’attaque a pu se poursuivre. Les attaquants avaient extrait 9 Go de données en une seule journée, correspondant à plus de 13 millions de fiches, avec un taux d’erreur de 69 % sur l’un des comptes usurpés : des signaux manifestes qui auraient dû déclencher des alertes automatiques dans un système correctement configuré.
3. Politique de mot de passe conforme
La recommandation CNIL n° 2022-100 du 21 juillet 2022 fixe les exigences minimales :
– Mot de passe d’au moins 12 caractères incluant majuscules, minuscules, chiffres et caractères spéciaux ;
– En cas d’authentification à facteur unique uniquement, seuil de blocage après 10 tentatives infructueuses au maximum ;
– Changement obligatoire du mot de passe attribué par défaut.
Leçon des affaires FREE MOBILE et FRANCE TRAVAIL : les deux organismes avaient fixé un seuil de blocage à 50 tentatives, jugé « bien supérieur aux recommandations et privé de tout effet utile » par la formation restreinte.
4. Gestion rigoureuse des habilitations
Le principe du moindre privilège impose de limiter les accès aux seules données strictement nécessaires pour l’accomplissement des missions de chaque utilisateur. La formation restreinte a précisé dans l’affaire FRANCE TRAVAIL que les habilitations accordées aux conseillers CAP EMPLOI « s’étendaient bien au-delà de ce qui est strictement nécessaire pour l’exercice des missions ».
Obligations pratiques :
– Définir des profils d’habilitation précis par fonction, sans accès horizontal générique ;
– Réaliser une revue annuelle des habilitations pour supprimer les accès obsolètes ;
– Prévoir un processus de désactivation immédiate lors d’un départ ou d’un changement de fonction ;
– Documenter l’ensemble du processus d’attribution et de révocation des accès.
5. Sécurisation des VPN et des accès distants
- Utiliser des protocoles de chiffrement à l’état de l’art (TLS 1.3 minimum) ;
- Segmenter le réseau pour limiter la propagation en cas de compromission ;
- Surveiller en temps réel les connexions VPN et détecter les connexions inhabituelles (géolocalisation, horaires, volume) ;
- Mettre en place un mécanisme de zéro confiance (Zero Trust) pour les accès aux ressources les plus sensibles.
IV. LES MESURES ORGANISATIONNELLES ESSENTIELLES
6. Encadrement contractuel de la sécurité avec les sous-traitants
15 % des notifications de violations reçues en 2024 étaient consécutives à des incidents chez 8 sous-traitants (plaquette cybersécurité CNIL 2025). Cette donnée impose une vigilance renforcée dans la chaîne sous-traitante.
Obligations légales (art. 28 RGPD) :
– Le contrat de sous-traitance doit expressément prévoir les mesures techniques et organisationnelles de sécurité attendues du sous-traitant ;
– Prévoir des clauses d’audit et des droits de vérification effectifs ;
– Imposer des obligations de notification des incidents dans des délais compatibles avec l’obligation de notification à la CNIL dans les 72 heures ;
– Vérifier l’effectivité des garanties (audits de sécurité, certifications ISO 27001, SOC 2, etc.) ;
– Prévoir les conditions de restitution et de destruction des données en fin de relation contractuelle.
Leçon des affaires de 2025 : dans les attaques visant les éditeurs de solutions (conseil patrimonial, professionnels de santé libéraux), les entreprises clientes ont été contraintes de notifier chacune une violation résultant d’un incident chez leur prestataire commun. La chaîne de responsabilité est entière.
7. Sensibilisation des utilisateurs — l’humain au cœur de la sécurité
L’ingénierie sociale est la technique d’attaque à l’origine des violations les plus massives de 2025 (FREE, FRANCE TRAVAIL). La CNIL rappelle l’importance de « considérer l’humain comme un acteur de la sécurité ».
Actions à mettre en œuvre :
– Formations régulières et adaptées aux profils (collaborateurs, développeurs, dirigeants, sous-traitants) sur les techniques d’ingénierie sociale, d’hameçonnage et de fraude au faux support technique ;
– Simulations d’attaques de phishing pour tester et renforcer la vigilance des équipes ;
– Procédures sécurisées de vérification d’identité avant tout acte sensible (réinitialisation de mot de passe, modification d’IBAN, accès à des fichiers sensibles) ;
– Charte informatique contraignante avec formation documentée des utilisateurs.
8. Analyses d’impact (AIPD) et gestion des risques
Pour les traitements susceptibles d’engendrer un risque élevé, la réalisation d’une AIPD (art. 35 RGPD) est obligatoire. Mais la réalisation formelle ne suffit pas : les recommandations issues de l’AIPD doivent être effectivement mises en œuvre et suivies avec des indicateurs.
Leçon de l’affaire FRANCE TRAVAIL : l’AIPD réalisée en 2022 avait précisément identifié le risque lié à l’absence de MFA et préconisé sa mise en œuvre dès 2023. Si cette recommandation avait été appliquée dans les délais, la violation de février-mars 2024 aurait très probablement été évitée ou significativement limitée.
9. Plan de continuité et de reprise d’activité (PCA/PRA)
- Effectuer des sauvegardes régulières, protégées et testées ;
- Disposer d’un plan de gestion de crise cyber documenté avec des responsabilités clairement définies ;
- Prévoir des procédures de notification interne et externe (CNIL, personnes concernées, ANSSI) ;
- Tester régulièrement le plan par des exercices de simulation.
10. Privacy by design et security by design dès la conception
L’article 25 du RGPD impose d’intégrer la protection des données dès la conception des systèmes. La formation restreinte a retenu dans l’affaire FREE MOBILE que les contraintes d’architecture invoquées « résultent précisément de choix de conception initiaux qui n’ont pas intégré dès l’origine les exigences du privacy by design » et que ces choix « ne sauraient constituer une cause d’exonération ».
En pratique : intégrer les exigences de sécurité dans les cahiers des charges des nouveaux systèmes, réaliser des tests d’intrusion et des audits de sécurité avant toute mise en production.
V. PROCÉDURE DE GESTION DES VIOLATIONS DE DONNÉES
En cas de violation avérée ou suspectée, le responsable de traitement doit :
- Documenter immédiatement la violation dans le registre interne des violations (art. 33-5 RGPD) ;
- Évaluer la nature de la violation (confidentialité, intégrité, disponibilité), son ampleur, les catégories de données et le nombre de personnes concernées, le risque pour les personnes ;
- Notifier la CNIL dans les 72 heures si la violation présente un risque pour les droits et libertés des personnes, avec toutes les informations disponibles, le cas échéant en plusieurs étapes (notification provisoire puis complément) ;
- Communiquer aux personnes concernées sans délai si le risque est élevé, avec une communication substantielle (nature de la violation, conséquences probables, mesures à prendre par les personnes) — non pas un simple courriel informatif vague ;
- Prendre des mesures correctives immédiates pour limiter les dommages et prévenir toute nouvelle violation.
Point d’attention : la CNIL a rappelé que « la notification d’une violation de données présentant un risque pour les droits et libertés des personnes à la CNIL constitue une obligation pour les responsables du traitement, dont la méconnaissance constitue un manquement à l’article 33 du RGPD pouvant donner lieu au prononcé d’une mesure correctrice ».
VI. PERSPECTIVES POUR 2026 : LES CONTRÔLES ANNONCÉS
La CNIL a expressément annoncé que, suite à l’incitation adressée au printemps 2025 aux organismes gérant de grandes bases de données à mettre en place l’authentification multifacteur, des contrôles seront réalisés tout au long de l’année 2026 pour vérifier la mise en conformité effective. Les secteurs les plus exposés (télécommunications, santé, secteur financier, administration publique, commerce) doivent impérativement s’y préparer.
Les collectivités territoriales feront également l’objet d’une attention particulière, compte tenu des manquements récurrents identifiés lors des 17 missions de contrôle réalisées en 2025 (serveurs obsolètes, absence d’homologation RGS, certificats non qualifiés par l’ANSSI).
La montée en puissance de la directive NIS 2 (Network and Information Security) va également renforcer l’articulation entre la CNIL et l’ANSSI en matière de gestion des incidents de sécurité, avec des obligations plus strictes de prévention, de gestion des incidents et de coopération entre États membres.
VII. TABLEAU RÉCAPITULATIF DES OBLIGATIONS DE SÉCURITÉ
| Obligation | Base légale | Mesure concrète | Décisions de référence |
|---|---|---|---|
| MFA pour accès distants | Art. 32 RGPD + Délibération CNIL 2025-019 | Activer MFA sur tous les VPN et accès externes | SAN-2026-001, SAN-2026-002, SAN-2026-003 |
| Journalisation active | Art. 32 RGPD + Reco CNIL 2021-122 | SIEM + analyse temps réel + alertes automatiques | SAN-2026-001, SAN-2026-003 |
| Politique de mots de passe | Art. 32 RGPD + Reco CNIL 2022-100 | 12 caractères min. / seuil blocage ≤ 10 tentatives | SAN-2026-001, SAN-2026-003 |
| Gestion des habilitations | Art. 32 RGPD + Art. 25 RGPD | Moindre privilège + revue annuelle | SAN-2026-003 |
| Encadrement sous-traitants | Art. 28 RGPD | Clauses sécurité + audit + notification incidents | Rapport CNIL 2025 |
| Limitation conservation | Art. 5-1-e RGPD | Purge automatisée + politique documentée | SAN-2026-001 |
| Notification violation | Art. 33 RGPD | Procédure 72h + registre interne | Rapport CNIL 2025 |
| Communication personnes | Art. 34 RGPD | Communication substantielle avec mesures pratiques | SAN-2026-001, SAN-2026-002 |
| AIPD + suivi effectif | Art. 35 RGPD | Réalisation + mise en œuvre effective des préconisations | SAN-2026-003 |
| Privacy/Security by design | Art. 25 RGPD | Intégration dès la conception + tests avant prod. | SAN-2026-001 |
01.06.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats