RAPPORT CNIL 2025 | CYBERSECURITE & INTELLIGENCE ARTIFICIELLE FAQ

Le Rapport annuel CNIL 2025 révèle une réalité préoccupante : 6 167 violations de données personnelles ont été notifiées à la CNIL en 2025 (9,5 % de plus qu’en 2024), et le chiffre brut avant ajustement méthodologique atteint 17 802. Dans ce contexte de recrudescence des cyberattaques, les personnes concernées sont en première ligne. Ce document leur fournit les informations essentielles pour comprendre leurs droits, détecter les risques et agir efficacement.

---

I. COMPRENDRE CE QU’EST UNE VIOLATION DE DONNÉES PERSONNELLES

 

Une violation de données personnelles est, au sens du RGPD, « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Concrètement, cela signifie que :
– vos données (nom, prénom, adresse, numéro de téléphone, adresse e-mail, données bancaires, données de santé…) ont pu être consultées, copiées, volées ou modifiées par une personne non autorisée ;
– il peut s’agir d’une cyberattaque (piratage, rançongiciel, hameçonnage), d’un vol de matériel (ordinateur, clé USB non chiffrée) ou d’une erreur humaine (envoi à un mauvais destinataire, publication accidentelle sur un site web) ;
– l’origine peut être malveillante ou accidentelle : dans les deux cas, vos droits s’exercent de la même manière.

Les violations les plus fréquentes en 2025 (selon le Rapport CNIL)

Le piratage informatique représente 50 % des notifications : vol de données depuis un compte utilisateur légitime, rançongiciel, hameçonnage, bourrage d’identifiants (credential stuffing). L’envoi à un mauvais destinataire représente 13 % des cas, le vol ou la perte de matériel 7 %, la publication non intentionnelle 7 %.

Les affaires marquantes de 2025-2026 qui vous concernent peut-être directement :

• FREE MOBILE (SAN-2026-001, 8 janvier 2026, amende 27 M€) : violation de données entre le 18 février et le 4 mars 2024 ayant affecté les données de plus de 24,6 millions de contrats d’abonnés. Données exposées : nom, prénom, adresse postale, téléphone, e-mail, données contractuelles et, pour les clients « convergents », les IBAN. Si vous étiez abonné FREE MOBILE à cette date, vos données ont peut-être été compromises.

• FREE (SAN-2026-002, 8 janvier 2026, amende 15 M€) : même attaque, même chronologie. Données relatives à 7,6 millions de contrats d’abonnés fixes, dont les IBAN pour les clients convergents.

• FRANCE TRAVAIL (SAN-2026-003, 22 janvier 2026, amende 5 M€) : violation entre le 6 février et le 5 mars 2024, ayant affecté les données personnelles de plus de 36,8 millions de personnes inscrites auprès de France Travail au cours des 20 dernières années, y compris les personnes non inscrites sur la liste des demandeurs d’emploi mais possédant un espace candidat sur francetravail.fr. Données exposées : nom, prénom, date de naissance, NIR (numéro de sécurité sociale), adresse, téléphone, e-mail, statut d’inscription, données relatives au handicap pour certains.

---

II. VOS DROITS EN CAS DE VIOLATION DE DONNÉES

 

Être informé

Lorsque la violation est susceptible d’engendrer un risque élevé pour vos droits et libertés, le responsable de traitement a l’obligation légale (article 34 du RGPD) de vous en informer sans délai. Cette information doit décrire :
– la nature de la violation ;
– les données concernées ;
– les conséquences probables de la violation pour vous ;
– les mesures prises pour remédier à la violation ;
– les mesures que vous pouvez prendre pour vous protéger.

Attention : si vous recevez un e-mail de notification de violation de données, lisez-le attentivement. Si ce message ne contient pas toutes ces informations, contactez l’organisme pour en savoir plus. La décision FREE MOBILE (SAN-2026-001) a précisément sanctionné le caractère insuffisant des courriels de notification, qui ne permettaient pas aux abonnés de comprendre les risques concrets qu’ils encouraient ni les mesures à prendre.

Exercer vos droits

Vous disposez des droits suivants sur vos données personnelles :

• Droit d’accès (art. 15 RGPD) : savoir quelles données vous concernant sont traitées ;
• Droit de rectification (art. 16 RGPD) : corriger des données inexactes ou incomplètes ;
• Droit à l’effacement (art. 17 RGPD) : demander la suppression de vos données dans certains cas ;
• Droit d’opposition (art. 21 RGPD) : vous opposer à certains traitements ;
• Droit à la limitation du traitement (art. 18 RGPD) : suspendre le traitement de vos données.

Ces droits s’exercent directement auprès du responsable de traitement (généralement via un formulaire en ligne ou par courrier au DPO) et doivent recevoir une réponse dans un délai d’un mois, prorogeable deux mois si la demande est complexe.

Porter plainte auprès de la CNIL

Si vous estimez que vos données n’ont pas été correctement protégées ou que vos droits n’ont pas été respectés, vous pouvez déposer une plainte auprès de la CNIL :

• En ligne : via le formulaire de dépôt de plainte sur cnil.fr ;
• Par courrier : CNIL, 3 place de Fontenoy, 75007 Paris ;
• Par téléphone : 01 53 73 22 22 (du lundi au vendredi, 9h30-17h00).

En 2025, la CNIL a reçu 20 150 plaintes et en a traité 18 123. La hausse des plaintes s’accélère depuis l’entrée en vigueur du RGPD, ce qui témoigne d’une meilleure appropriation de ces droits par les citoyens.

---

III. LES RISQUES CONCRETS ET COMMENT S’EN PROTÉGER

 

Le risque d’hameçonnage (phishing) ciblé

Après une violation de données, vos coordonnées (nom, prénom, e-mail, téléphone) peuvent être utilisées pour vous envoyer des messages frauduleux parfaitement personnalisés, se faisant passer pour votre banque, votre opérateur téléphonique, votre employeur, ou toute autre organisation que vous connaissez.

Comment reconnaître un message d’hameçonnage :
– L’urgence artificielle (« Votre compte sera suspendu dans 24h », « Action immédiate requise ») ;
– Une demande de cliquer sur un lien et d’entrer vos identifiants, mots de passe ou coordonnées bancaires ;
– Une adresse d’expéditeur qui ressemble à une adresse officielle mais présente une légère différence (ex. : support@free-mobile-info.com au lieu de @free.fr) ;
– Des fautes d’orthographe ou un style inhabituel.

Règles de vigilance :
– Ne jamais cliquer sur un lien reçu par e-mail ou SMS avant d’avoir vérifié l’authenticité du message en contactant directement l’organisme par ses canaux officiels ;
– Accéder directement aux sites en tapant leur URL dans votre navigateur ;
– En cas de doute, consultez le site cybermalveillance.gouv.fr.

Le risque d’usurpation d’identité et de fraude bancaire

Si votre IBAN a été compromis (cas des abonnés FREE/FREE MOBILE convergents), soyez vigilant face aux prélèvements frauduleux. Un IBAN seul ne suffit pas à effectuer un prélèvement, mais une personne malveillante peut initier un paiement sur un site qui valide le mandat SEPA par une simple case à cocher. En cas de prélèvement frauduleux, vous disposez d’un délai de 13 mois pour le contester auprès de votre banque (8 semaines pour une contestation sans justification).

Si votre numéro de sécurité sociale (NIR) a été exposé (cas FRANCE TRAVAIL), surveillez attentivement vos relevés Ameli, vos avis d’imposition et tout document émanant d’organismes sociaux. Signalez immédiatement toute anomalie à la CPAM, à la MSA, à votre caisse de retraite ou à la DGFIP.

Mesures préventives :
– Activer les alertes SMS ou e-mail pour toute opération bancaire dépassant un certain montant ;
– Vérifier régulièrement votre relevé de compte et contester immédiatement tout mouvement non reconnu ;
– Si vous êtes victime d’une usurpation d’identité avérée, déposez une plainte auprès de la police ou de la gendarmerie et signalez-le à la CNIL.

Le risque de revente de données sur le darknet

La CNIL a noté que dans plusieurs affaires de 2025, les intrusions n’avaient pas été détectées par l’organisme avant la mise en vente ou l’exploitation des données volées. Si vos données font partie d’une violation massive, elles peuvent être achetées par d’autres acteurs malveillants et utilisées des mois ou des années plus tard.

Pour vérifier si vos données ont été compromises :
– Consultez le service Have I Been Pwned (haveibeenpwned.com) qui répertorie les violations connues ;
– Votre navigateur (Chrome, Firefox, Safari) peut également vous alerter si vos identifiants ont été compromis.

---

IV. BONNES PRATIQUES NUMÉRIQUES INDIVIDUELLES

 

Protéger vos comptes en ligne

• Utilisez un mot de passe unique et robuste pour chaque service important (au moins 12 caractères, mélange majuscules/minuscules/chiffres/caractères spéciaux). La CNIL recommande de recourir à un gestionnaire de mots de passe pour éviter la réutilisation ;
• Activez l’authentification multifacteur (MFA ou 2FA) sur tous vos comptes importants (messagerie, banque, réseaux sociaux, espaces administratifs). Cette mesure, qui exige un second facteur en plus du mot de passe (code SMS, application d’authentification, clé physique), rend l’usurpation de vos identifiants extrêmement difficile, même si votre mot de passe a été volé ;
• Ne réutilisez jamais le même mot de passe sur plusieurs services ;
• Changez vos mots de passe immédiatement dès lors que vous apprenez qu’un service que vous utilisez a subi une violation de données.

Surveiller votre identité numérique

• Effectuez régulièrement des recherches de votre nom sur les moteurs de recherche pour détecter d’éventuelles publications indésirables de vos données personnelles ;
• Consultez vos rapports de crédit (via les organismes spécialisés ou via la Banque de France) pour détecter des demandes de crédit frauduleuses à votre nom ;
• Soyez attentif aux courriers physiques inhabituels (banques, administrations) que vous n’avez pas sollicités.

Protéger votre vie privée au quotidien

• Limitez les informations personnelles que vous publiez sur les réseaux sociaux ;
• Vérifiez régulièrement les paramètres de confidentialité de vos comptes ;
• Méfiez-vous des applications mobiles qui demandent des permissions disproportionnées par rapport à leur usage ;
• Utilisez la navigation privée pour limiter les risques de suivi publicitaire.

---

V. QUE FAIRE SI VOUS ÊTES VICTIME D’UNE VIOLATION DE DONNÉES

 

Étapes immédiates

1. Lisez attentivement la notification de violation que vous avez reçue (si elle a été envoyée) — elle doit vous indiquer quelles données ont été compromises et les risques pour vous ;

2. Changez immédiatement vos mots de passe sur tous les services utilisant le même mot de passe que celui potentiellement compromis, en commençant par vos comptes les plus sensibles (banque, messagerie principale, services administratifs) ;

3. Activez la MFA sur tous vos comptes importants si ce n’est pas encore fait ;

4. Surveillez vos comptes bancaires et signalez immédiatement tout mouvement suspect à votre banque ;

5. Signalez la fraude : en cas d’usurpation d’identité ou de fraude avérée, déposez une plainte auprès de la police ou de la gendarmerie. Conservez toutes les preuves (e-mails, captures d’écran, relevés de compte) ;

6. Saisissez la CNIL si vous estimez que vos droits n’ont pas été respectés (notification insuffisante, refus de répondre à vos demandes d’accès ou d’effacement, etc.).

Ressources utiles

Organisme	Mission	Contact
CNIL	Protection des données personnelles, dépôt de plainte	cnil.fr / 01 53 73 22 22
Cybermalveillance.gouv.fr	Assistance aux victimes de cybermalveillance	cybermalveillance.gouv.fr
Banque de France	Signalement d’usurpation d’identité bancaire	banque-france.fr
Police / Gendarmerie	Plainte pour usurpation d’identité ou fraude	commissariat/brigade ou plainte.fr
Have I Been Pwned	Vérification si vos données ont été compromises	haveibeenpwned.com

---

VI. CE QUE LA CNIL FAIT POUR VOUS PROTÉGER

 

Le rapport annuel 2025 illustre la mobilisation de la CNIL à chaque étape :

• En amont : publication de recommandations, guides pratiques et outils destinés aux responsables de traitement pour prévenir les violations (recommandation MFA de mars 2025, guides de la sécurité des données personnelles, guide dédié à l’Éducation nationale publié en mai 2025) ;

• Pendant l’incident : accompagnement des organismes dans la gestion de crise et traitement des plaintes des personnes concernées en urgence (exemple : intervention rapide de la CNIL auprès d’un opérateur téléphonique suite à la plainte d’une femme victime de violences conjugales dont les données avaient été communiquées à son ex-conjoint) ;

• Après l’incident : contrôle et sanction des responsables de traitement défaillants. En 2025, 14 organismes ont été sanctionnés par procédure simplifiée pour des manquements à la sécurité des données, et trois décisions majeures ont été rendues en janvier 2026 (FREE MOBILE, FREE, FRANCE TRAVAIL) pour des violations massives.

La CNIL coopère également avec le parquet cybercriminalité du tribunal de Paris pour transmettre les violations les plus graves susceptibles de révéler l’action de groupes structurés, et travaille à l’amélioration de la prise en charge collective des victimes de fuites massives, en reconnaissant que « lorsqu’un incident concerne des dizaines de millions de personnes, il est matériellement impossible de traiter autant de plaintes individuelles ».

---

VII. VÉRIFICATION RAPIDE : ÊTES-VOUS CONCERNÉ PAR LES GRANDES VIOLATIONS DE 2024-2025 ?

 

Organisme	Données compromises	Population concernée	Risques principaux
FREE MOBILE (viol. oct. 2024 → SAN-2026-001)	Nom, prénom, adresse, téléphone, e-mail, IBAN (clients convergents)	19,2 M de contrats mobiles	Hameçonnage ciblé, fraude bancaire SEPA
FREE (viol. oct. 2024 → SAN-2026-002)	Identité, coordonnées, données contrat, IBAN	5,17 M de contrats fixes	Fraude bancaire SEPA, usurpation identité
FRANCE TRAVAIL (viol. fév.-mars 2024 → SAN-2026-003)	Nom, prénom, date de naissance, NIR, adresse, téléphone, e-mail, statut demandeur d’emploi, données handicap	36,8 M de personnes	Usurpation d’identité, fraude sociale, discrimination