6 167 fuites de données en France en 2025 : une par heure, et 2026 bat déjà des records
Rapport CNIL 2025 : ce que les chiffres révèlent, ce que votre PME risque, et ce que vous devez faire maintenant

Analyse 2LKATIME - Rapport CNIL 2025
2LKATIME accompagne des PME et ETI françaises dans leur mise en conformité RGPD et leur sécurité opérationnelle. Nos auditeurs (OSCP, OSEP, OSWE) interviennent régulièrement après des incidents de sécurité impliquant des fuites de données. Cet articlé s'appuie sur les données officielles de la CNIL et notre expérience terrain.
6 167. C'est le nombre de violations de données personnelles notifiées à la CNIL en 2025 - soit 24 fuites par jour, une par heure, 7 jours sur 7. Derrière ce chiffre officiel, une réalité que les experts en sécurité connaissent bien : seule une fraction des incidents est effectivement déclarée. Et si ce bilan 2025 est déjà alarmant, les premiers mois de 2026 indiquént que le record pourrait bien être battu cette année.
Pour les PME françaises, ces statistiques ne sont pas abstraités : elles représentent des obligations légales concrètes, des risques financiers réels et une responsabilité directe vis-à-vis de leurs clients. Cet articlé décrypte ce que les chiffres CNIL 2025 signifient pour votre entreprise, ce que la loi vous impose de faire, et comment réduire concrètement votre exposition en 2026.
1. Les chiffres CNIL 2025 : une fuite de données par heure en France
Le rapport annuel de la CNIL pour 2025 dresse un tableau sans ambiguité : les violations de données personnelles explosent en France. Avec 6 167 notifications reçues sur l'année, la Commission nationale enregistre une hausse continue depuis l'entrée en vigueur du RGPD en mai 2018. Pour mettre ce chiffre en perspective, la CNIL ne recevait que 1 170 notifications en 2019, première année complète d'application du règlement.
6 167
violations notifiées à la CNIL en 2025
24/jour
fuites de données déclarées chaque jour
9/10
Français dont les données circulent sur le darkweb
+427%
de hausse depuis la première année RGPD (2019)
Ce qui est encore plus préoccupant : ces 6 167 notifications ne représentent que les incidents que les entreprises ont effectivement détectés et déclarés. Les experts en cybersécurité estiment que le chiffre réel des violations est de 3 à 5 fois supérieur - les incidents non détectés, mal classifiés ou délibérément non déclarés représentant la grande majorité des cas. La statistique des 9 Français sur 10 dont les données circulent sur le darkweb en est la conséquence directe.
2026 bat déjà des records : les données des premiers mois de 2026 disponibles auprès de la CNIL et des CERT européens montrent une trajectoire en hausse de 18 a 22% par rapport à la même période en 2025. Si cette tendance se confirme, 2026 pourrait dépasser les 7 000 notifications annuelles - soit une fuite déclarée toutes les 75 minutes.
2. Les 5 causes principales des fuites de données en France
Comprendre l'origine des violations, c'est le premier pas pour s'en protéger. L'analyse des notifications reçues par la CNIL en 2025 révèle cinq vecteurs d'attaque dominants, dont certains sont largement sous-estimés par les PME.
1. Ransomware et chiffrement des données (38% des cas)
Le ransomware reste la cause numero un. L'attaquant chiffre vos données ET les exfiltre avant - la double extorsion est devenue la norme. Même si vous payez la rançon, vos données ont déjà été copiées. Pour une PME, un ransomware déclénche automatiquement une obligation de notification CNIL si des données personnelles ont été compromises.
2. Phishing et compromission de comptes (27% des cas)
Un email frauduleux, un mot de passe volé, un compte Microsoft 365 ou Google Workspace compromis - et l'attaquant accède à toute la messagerie, aux fichiers partagés, aux contacts clients. Le phishing ciblé (spear phishing) explose en 2025-2026, souvent assisté par des outils d'IA qui personnalisent les leurres à grande échelle.
3. Erreurs humaines internes (18% des cas)
Mauvais destinataire d'un email, fichier client partagé sans restriction sur Google Drive, basé de données mal configurée exposée sur internet - les erreurs internes représentent près d'1 fuite sur 5. Ce sont souvent des incidents que les entreprises hésitent à déclarer, mais qui restent soumis à l'obligation de notification CNIL si des données personnelles sont en jeu.
4. Compromission de sous-traitants et supply chain (11% des cas)
Votre comptable, votre agence web, votre prestataire RH, votre éditeur de logiciel - chacun a accès à vos données et représente un vecteur d'attaque potentiel. En 2025, les attaques via la supply chain ont bondi de 67%. En tant que responsable de traitément, vous restez juridiquement responsable même si c'est votre sous-traitant qui a été piraté. Nos experts analysent régulièrement cette chaîne de confiance, comme expliqué dans notre articlé sur la sécurité externalisée PME.
5. Exploitation de vulnérabilités non patchées (6% des cas)
Des systèmes non mis à jour, des VPN obsolètes, des serveurs web exposés avec des CVE connues - les attaquants automatisent le scan des cibles vulnérables à l'échelle mondiale. En 2026, le délai moyen entre la publication d'un CVE critique et son exploitation active est tombé sous les 48 heures. Une PME qui n'applique pas ses mises à jour sous 72 heures joue à la roulette russe.
3. Ce que la loi impose à votre PME : les 72 heures qui changent tout
L'articlé 33 du RGPD est clair et sans exception de taille d'entreprise : toute violation de données à caractère personnel doit être notifiée à l'autorité de contrôle compétente (la CNIL en France) dans un délai de 72 heures après sa découverte. Pas 72 heures ouvrées - 72 heures calendaires, week-end compris.
Notification CNIL obligatoire si...
- - Accès non autorisé à des données personnelles
- - Destruction accidentelle ou illicite de données
- - Modification non autorisée de données
- - Perte d'un support contenant des données (PC, clé USB)
- - Ransomware ayant chiffré des données personnelles
- - Email envoyé au mauvais destinataire avec données perso
Notification des personnes concernées si...
- - Risque élevé pour les droits et libertés (Art. 34)
- - Données sensibles exposées (santé, finances, identité)
- - Données permettant une usurpation d'identité
- - Volume important de personnes touchées
- - Données de mineurs compromises
La notification CNIL doit contenir : la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les données impliquées, les conséquences probables et les mesures prises. Si vous n'avez pas toutes les informations dans les 72 heures, vous pouvez notifier par étapes - mais le délai court dès la découverte, pas dès l'investigation complète.
Le portail de notification CNIL est accèssible sur notifications.cnil.fr. Nous recommandons de tester ce formulaire avant d'en avoir besoin - en cas d'incident, chaque minute compte et découvrir le processus sous stress est une erreur coûteuse. Pour savoir quels droits ont vos clients après une fuite, consultez notre articlé fuite de données : vos droits après le mail vague.
4. Ce que ça coûte vraiment : amendes, réputation et responsabilité civile
La violation de données n'est pas qu'un incident technique - c'est un risque financier, réputationnel et juridique dont les PME sous-estiment systématiquement l'ampleur. En 2024, la CNIL a prononcé plus de 100 millions d'euros de sanctions cumulées, avec une tendance à cibler des entreprises de toutes tailles.
| Type de manquement | Plafond amende | Exemples CNIL 2024-2025 |
|---|---|---|
| Non-notification sous 72h | 10M€ ou 2% CA | 50 000€ - 500 000€ |
| Mesures de sécurité insuffisantes | 20M€ ou 4% CA | 150 000€ - 3M€ |
| Non-information des personnes | 10M€ ou 2% CA | 25 000€ - 200 000€ |
| Sous-traitant non conforme | 20M€ ou 4% CA | 75 000€ - 1M€ |
Au-dela des amendes CNIL, une fuite de données exposé la PME à des recours civils de la part des personnes concernées (articlé 82 du RGPD), des pénalités contractuelles de la part de ses clients grands comptes, une perte de confiance qui peut se traduire par une chute du chiffre d'affaires, et dans les cas graves, une mise en cause de la responsabilité pénale des dirigeants. Pour les PME intervenant dans des secteurs régulés (santé, finance, défense), s'ajoute la notification aux autorités sectorielles spécifiques.
Les PME de Lyon, Bordeaux et des grandes métropoles françaises sont de plus en plus dans le viseur des contrôles CNIL régionaux depuis 2024. Nos équipes interviennent pour des audits RGPD à Lyon et Bordeaux avec un délai de prise en charge sous 48h.
5. Checklist concrète : réduire votre risque avant la prochaine fuite
Face à une fuite de données par heure en France, la question n'est plus "est-ce que mon entreprise sera touchée" mais "quand, et est-ce que je serai prêt". Voici les 8 mesures prioritaires que nos experts recommandent aux PME françaises en 2026, classées par impact et facilité de mise en oeuvre.
1. MFA sur tous les accès critiques (priorité maximale)
Microsoft 365, Google Workspace, VPN, interfaces admin - activer l'authentification multifacteur élimine 99% des compromissions de comptes par credential stuffing ou phishing classique. C'est la mesure au meilleur rapport effort/protection. Si vous ne faites qu'une chose cette semaine, faites celle-la.
2. Chiffrement des données sensibles au repos et en transit
BitLocker sur tous les postes, chiffrement S3 ou équivalent pour vos stockages cloud, TLS 1.3 sur vos applications. Un PC volé avec des données chiffrées ne déclénche pas d'obligation de notification CNIL si le chiffrement est robuste et la clé non compromise.
3. Sauvegardes isolées testées (règle 3-2-1)
3 copies, 2 supports différents, 1 hors site et déconnecté du réseau. Et surtout : tester la restauration régulièrement. Un backup non testé n'est pas un backup. Face au ransomware, c'est votre seule garantie de redémarrage sans payer la rançon.
4. Procédure de réponse aux incidents documentée
Qui appelle qui ? Qui notifie la CNIL ? Quel est le délai interne d'escalade ? Cette procédure doit exister avant l'incident - pas être rédigée sous le stress de l'attaque. Elle doit inclure les contacts de votre DPO ou conseiller juridique, l'accès aux formulaires CNIL et les clauses contractuelles avec vos sous-traitants.
5. Cartographie de vos données et de vos sous-traitants
Quelles données personnelles traitéz-vous ? Ou sont-elles stockées ? Qui y a accès ? Quels sous-traitants les manipulent ? Sans cette cartographie, vous ne pouvez ni évaluer l'impact d'une violation ni rédiger une notification CNIL correcte dans les 72 heures. C'est la basé du registre des traitéments imposé par le RGPD. Pour aller plus loin, notre guide sur la conformité RGPD à Paris détaille notre approche.
FAQ - Fuites de données et obligations RGPD pour les PME
Combien de fuites de données ont été déclarées à la CNIL en 2025 ?
La CNIL a reçu 6 167 notifications de violations de données en 2025, soit 24 fuites par jour ou une fuite toutes les heures. Ce chiffre est en hausse constante depuis l'entrée en vigueur du RGPD en 2018. Les experts estiment que le nombre réel de violations est 3 a 5 fois supérieur, les incidents non détectés ou non déclarés étant majoritaires.
Une PME est-elle obligée de notifier la CNIL en cas de fuite de données ?
Oui, toute violation de données à caractère personnel doit être notifiée à la CNIL dans un délai de 72 heures après sa découverte (Articlé 33 du RGPD), quelle que soit la taille de l'entreprise. Le non-respect de cette obligation exposé l'entreprise à des sanctions pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial.
Faut-il prévenir les personnes concernées en cas de fuite de données ?
Oui, si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (vol d'identité, préjudice financier, discrimination), vous devez également notifier les personnes concernées sans délai injustifié, conformément à l'Articlé 34 du RGPD. La CNIL peut vous dispenser de cette obligation si vous avez mis en place des mesures de protection appropriées comme le chiffrement.
Quelles sont les sanctions pour une PME qui ne notifie pas une fuite de données à la CNIL ?
Les sanctions peuvent atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial pour le non-respect de l'obligation de notification. Pour les violations plus graves (mesures de sécurité insuffisantes), la sanction peut monter à 20 millions d'euros ou 4% du CA. La CNIL a prononcé plus de 100 millions d'euros de sanctions en 2024 et intensifie ses contrôles en 2026.
Comment protéger son entreprise contre les fuites de données en 2026 ?
Les mesures essentielles sont : authentification multifacteur (MFA) sur tous les accès critiques, chiffrement des données sensibles, sauvegardes isolées testées (règle 3-2-1), procédure de réponse aux incidents documentée, cartographie des données et sous-traitants, et formation régulière des équipes au phishing. Un audit annuel par des experts externes permet de détecter les angles morts avant les attaquants.
Votre PME est-elle prête pour la prochaine fuite ?
Avec une fuite de données par heure en France et 2026 en route pour battre ce record, la question n'est plus si vous serez touché, mais quand. Nos auditeurs OSCP/OSEP analysent votre exposition réelle, vérifient votre conformité RGPD et vous livrent un plan d'action priorisé sous 5 jours. Premier échange offert, sans engagement.