Au travers des condamnations prononcées par la Cnil et des nombreuses recommandations publiées sur son site (cnil.fr), l’autorité de régulation des données procure de nombreux enseignements sur les éléments à prendre en compte pour sécuriser son système d’information. Voici quelques leçons à tirer de ces sanctions.

 

Les points clés à retenir  

• L’article 32 du RGPD impose la mise en œuvre de mesures techniques et organisationnelles adaptées au niveau de risque, sans liste exhaustive prédéfinie.  
• Les manquements à la sécurité des données figurent parmi les principaux fondements des sanctions de la Cnil, dont le volume et les montants sont en forte augmentation.  
• Les défaillances les plus fréquemment sanctionnées concernent des éléments opérationnels : gestion des accès, mots de passe, chiffrement, configuration des systèmes.  
• L’obligation de sécurité s’étend à l’ensemble de l’écosystème, incluant les sous-traitants et la gestion de la chaîne de traitement.  
• La détection, la documentation et la notification des violations de données constituent des obligations autonomes, régulièrement contrôlées.  
• Au-delà du risque de sanction, la sécurité des données s’inscrit dans une démarche globale de gestion du cyber-risque et de protection des actifs immatériels.  

 

 Un risque cyber croissant, une régulation en forte accélération

La menace numérique ne cesse de s’intensifier, et la Cnil a considérablement renforcé son action en réponse. Deux réalités se conjuguent aujourd’hui : une cybercriminalité en pleine expansion et une autorité de régulation qui sanctionne plus vite, plus souvent et plus lourdement. 

Une menace qui s’accentue d’année en année 

En 2024, la sécurité des données personnelles demeurait l’un des manquements les plus régulièrement sanctionnés par la CNIL, qui a prononcé 87 sanctions au total, soit quatre fois plus qu’en 2022. Que ce soit dans le cadre du règlement général sur la protection des données (RGPD) ou avant ce règlement dans celui de la loi informatique et libertés, la sécurité constitue une obligation centrale car le défaut de protections des systèmes d’information ou des sites internet représente une vraie menace pour les données. D’après le panorama des cybermenaces 2022 de l’ENISA (European Union Agency for Cybersecurity), les rançongiciels (ransomware) ont occupé la première place du podium des cybermenaces. Et comme l’a montré le dernier rapport de l’Agence nationale de la sécurité des systèmes d’information (Anssi), les cybercriminels s’investissent de plus en plus dans le vol de données et le chantage à la divulgation. D’où l’attention particulière et la sévérité de la Cnil sur ce sujet afin que les acteurs de traitements veillent à assurer la sécurité et la confidentialité des données qu’ils traitent.

 Une obligation qui est aussi une opportunité 

Au-delà de la crainte d’une sanction de la Cnil et d’une atteinte à l’image de son organisation en cas de publicité sur une fuite de donnée, l’obligation de sécurité est une incitation à protéger ses données. Si le respect de cette obligation constitue une contrainte, elle représente aussi un outil puissant de gestion de la sécurité du système d’information. En protégeant les données personnelles de manière proactive par la mise en place de mesures techniques et organisationnelles, les entreprises renforcent la confiance de leurs clients, se prémunissent contre les risques de violations de données et se positionnent comme des acteurs respectueux de la vie privée dans un paysage numérique en constante évolution. La lecture des délibérations de la Cnil mais aussi celle de son Guide de la sécurité des données personnelles éclairent parfaitement sur les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

 

Le cadre juridique : l’article 32 du RGPD et ses conséquences 

L’article 32 du RGPD fixe les obligations des responsables de traitement en matière de sécurité. Son non-respect expose désormais les organisations à des sanctions dont le volume et le montant ont considérablement augmenté ces dernières années. 

Les obligations posées par le RGPD

L’article 32 du RGPD impose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Et le montant des sanctions pécuniaires prévu par le règlement peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Une activité répressive en très forte hausse

Si le nombre de sanctions prononcées par la Cnil était encore limité en 2022 (22 sanctions), la montée en puissance de la procédure simplifiée, instaurée cette même année, a radicalement changé la donne. En 2024, la Cnil a prononcé 87 sanctions, dont 69 dans le cadre de la procédure simplifiée, soit près de trois fois plus qu’en 2023. [1] En 2025, 83 sanctions ont été prononcées pour un montant cumulé record de près de 487 millions d’euros. [2] Sur la période 2022-2024, la Cnil a adopté au total 495 mises en demeure et 150 sanctions, pour un montant cumulé de plus de 245 millions d’euros, dont 55 millions pour la seule année 2024.  

Un risque qui va au-delà de la sanction administrative 

La publicité qui pourrait être faite suite à une fuite de données peut avoir des répercussions très dommageables en termes d’image. Et puis, il y a toujours le risque d’être assigné devant un tribunal, comme OVH pour avoir manqué à ses obligations contractuelles de sécurité dans le cadre de l’incendie de son datacenter de Strasbourg qui a touché des milliers de clients ainsi que leurs données. L’entreprise a été condamné à verser  101 172 euros à l’un de ses clients au titre de l’indemnisation de son préjudice puis environ 145 000 euros à un second client quelques semaines plus tard tandis que le préjudice global de l’ensemble des victimes était évalué à 10 millions d’euros par le cabinet d’avocats coordonnant les recours collectifs, selon la CNIL. 

Les aspects pris en compte par la Cnil

De nombreux aspects sont pris en compte par la Cnil dans ses décisions : absence de robustesse des mots de passe, défaut dans le stockage et la transmission des mots de passe, accès des utilisateurs, évaluation et analyse des mesures techniques, anonymisation des données, contrôle des sous-traitants…).

En lien avec les défauts relevés en matière de sécurité des données, l’absence de documentation des violations de données personnelles a également donné lieu à sanction, ce qui souligne la nécessité de formaliser le signalement des incidents de sécurité et les conditions permettant de caractériser ou non l’existence de violations. La Cnil a sanctionné des entreprises qui n’ont pas sensibilisé et formé leurs employés aux bonnes pratiques de sécurité.

Exemples de sanctions prononcées par la Cnil

Les décisions de la Cnil couvrent des manquements variés, des défauts techniques aux lacunes organisationnelles. Ces quelques exemples illustrent la diversité des situations sanctionnées et l’aggravation progressive des amendes prononcées. 

Défaut de chiffrement : 1,5 million d’euros d’amende 

Selon les cas et la sensibilité des traitements, le RGPD envisage plusieurs moyens de sécurisation à mettre en œuvre ; le chiffrement des données à caractère personnel étant un des premiers exemples cités. La Cnil a prononcé plusieurs sanctions dans des affaires où les données personnelles sensibles n’étaient pas chiffrées. Par exemple, le 15 avril 2022, elle a condamné la société Dedalus Biologie, qui commercialise des logiciels pour des laboratoires d’analyse médicale, à payer une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes. Dans cette affaire, la Cnil a relevé dans sa décision que « l’absence de mise en place de mesures de sécurité protégeant le serveur en cause – notamment l’absence de chiffrement, l’absence d’effacement automatique des données après leur migration, l’absence d’authentification requise depuis Internet pour accéder à la zone publique du serveur et l’utilisation de comptes utilisateurs partagés – a conduit à rendre accessibles lesdites données à des tiers, et ce malgré des alertes préalables à la violation de données à caractère personnel ayant conduit à la divulgation d’un fichier contenant les données médico-administratives de près de 500 000 personnes. »   

Accès non autorisés et mauvaise configuration 

La Cnil prête également une attention particulière à l’absence de mesures prises pour éviter les accès non autorisés aux données pouvant résulter d’une mauvaise configuration des paramètres de sécurité, d’une gestion insuffisante des droits d’accès ou d’une absence de mesures de contrôle appropriées. Par exemple, elle a condamné Bouygues Télécom, le 26 décembre 2018, à 250 000 euros d’amende pour avoir laissé la possibilité d’accéder à des contrats et factures de client B&You par la modification d’une adresse URL. L’opérateur responsable de traitement n’a pas assuré la sécurité et la confidentialité des données en faisant le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs du site web concerné.

Mots de passe insuffisants : Free lourdement sanctionné

Le 30 novembre 2022, la Cnil a prononcé une sanction de 300 000 euros à l’encontre de la société Free. Elle lui a reproché, entre autres, le manque de robustesse des mots de passe générés lors de la création d’un compte utilisateur sur le site web de la société, et le fait qu’ils soient stockés en clair dans la base de données des abonnés de la société. En janvier 2026, la Cnil est revenue sanctionner le groupe en prononçant deux nouvelles décisions à l’encontre de Free Mobile et Free, pour des amendes respectives de 27 et 15 millions d’euros, illustrant l’aggravation nette du niveau des sanctions sur ce type de manquements répétés. [4]

Gestion des incidents et obligation d’information

La CNIL veille aussi à la manière dont les organisations gèrent les incidents de sécurité et en a sanctionné plusieurs qui n’avaient pas pris de mesures concernant duites de données. Les entreprises doivent être préparées à réagir rapidement en cas d’incident, en mettant en place des procédures de gestion des incidents, en notifiant les autorités compétentes et les personnes concernées, et en prenant des mesures correctives pour éviter de nouvelles violations. Dans une affaire qui concernait Slimpay, un établissement de paiement dont l’accès au serveur ne faisait l’objet d’aucune mesure de sécurité : les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromises. En plus de l’absence de mesures de sécurité, la Cnil a estimé que la société aurait dû informer toutes les personnes concernées de cette atteinte à leurs données. Elle a donc condamné Slimpay à 180 000 € d’amende pour non-respect de son obligation de sécurité mais aussi le manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées

 

Une opportunité de se préparer face à un risque bien réel

Les organisations doivent bien sûr prendre au sérieux le risque légal d’un manquement à l’obligation de sécurité mais surtout le voir comme une opportunité de se préparer à un risque de cyberattaque qui aujourd’hui est loin d’être théorique. Selon le Baromètre Data Breach 2022, animé par le Forum International de la Cybersécurité (FIC) en partenariat avec Almond et Bessé, le nombre de violations de données a presque doublé en un an et demi, touchant plus de 5 millions de personnes en France[5]. En 2024, la Cnil s’est de nouveau inquiétée des violations de données de grande ampleur, dont le nombre a encore doublé en un an, touchant des millions de personnes en France.[6]

Pour aider les organisations à se prémunir, la Cnil a publié un guide de la sécurité des données personnelles listant des mesures prioritaires, comme la mise en place d’une authentification à double facteur ou la limitation de l’accès au réseau aux seuls équipements authentifiés. Des recommandations concrètes qui, si elles avaient été appliquées, auraient évité la plupart des sanctions évoquées dans cet article. A retrouver ici : https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf 

 

Vous êtes cyber-assureur et vous souhaitez connaître les actifs immatériels de votre assuré ?

Sources

[1] Chiffres des sanctions 2024 (87 sanctions, procédure simplifiée, bilan 2022-2024) CNIL — Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL, publié le 5 février 2025 https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-bilan-2024-de-laction-de-la-cnil 

[2] Chiffres des sanctions 2025 (83 sanctions, 487 millions d’euros) CNIL — Sanctions et mesures correctrices : la CNIL présente le bilan 2025, publié le 9 février 2026 https://www.cnil.fr/fr/bilan-sanctions-2025 

[3] Manquements techniques sanctionnés en 2024 (protocole TLS, mots de passe, politique d’habilitation) Même source que [1] : CNIL — Sanctions et mesures correctrices : bilan 2024 de l’action de la CNIL, publié le 5 février 2025 https://www.cnil.fr/fr/sanctions-et-mesures-correctrices-bilan-2024-de-laction-de-la-cnil 

[4] Nouvelles sanctions Free Mobile et Free (27 et 15 millions d’euros, janvier 2026) CNIL — Page des sanctions, consultée en avril 2026 https://www.cnil.fr/fr/thematique/cnil/sanctions 

[5] Sanction France Travail (5 millions d’euros, janvier 2026)  CNIL — Page des sanctions, consultée en avril 2026 https://www.cnil.fr/fr/thematique/cnil/sanctions 

[6] Doublement des violations de données en 2024 et guide de la CNIL Vie-publique.fr — Protection des données personnelles : le bilan 2024 de la CNIL https://www.vie-publique.fr/en-bref/298380-protection-des-donnees-personnelles-le-bilan-2024-de-la-cnil