Rapport CNIL 2025, lecture d'un régulateur en mutation
Sous-traitants, IA, interrégulation, chiffres records trompeurs : ce que le rapport annuel 2025 de la CNIL dit vraiment de la régulation en 2026.

Ce que la présidente admet sans l'écrire vraiment
Marie-Laure Denis ouvre son rapport annuel par un mot qui mérite d'être pris au sérieux. Année charnière. Le terme revient deux fois en quelques lignes, ce qui ne ressemble pas à un effet rhétorique distrait. La présidente de la CNIL choisit son vocabulaire avec la prudence d'une ancienne du Conseil d'État, et quand elle dit charnière, elle décrit un basculement institutionnel qu'elle constate sans entièrement le maîtriser.
La question est : charnière entre quoi et quoi. Le rapport apporte une réponse en creux, à condition de le lire comme un document de transition plutôt que comme un bilan d'activité. Plusieurs lignes de fond s'y croisent, aucune ne se laisse réduire à un titre journalistique, et c'est précisément ce qui rend la lecture intéressante.
Le temps comme outil
La première bascule concerne la fonction temporelle du régulateur. Au printemps 2025, la CNIL publie ses consignes sur la sécurité des grandes bases de données après une année 2024 qui avait déjà battu tous les records de violations notifiées. Elle insiste sur l'authentification multifacteur, sur la journalisation, sur la supervision des accès distants, sur la gestion des sous-traitants. Puis elle annonce, sans détour, qu'elle a laissé un temps d'adaptation aux acteurs et que les contrôles seront menés tout au long de 2026.
Cette phrase, lue rapidement, ressemble à une banalité administrative. Lue lentement, elle est un aveu doctrinal. Le régulateur préenregistre dans sa méthode le fait que les organisations ne bougeront pas sur la simple publication d'une recommandation. Il ne s'attend plus à la conformité spontanée. Il calibre sa pression dans le temps.
Le rapport contient assez d'éléments pour valider la justesse de cette doctrine. Cinq ans s'écoulent entre les lignes directrices sur les cookies, adoptées en 2020, et les sanctions cumulées de septembre 2025 contre Google et Shein, pour un total de 475 millions d'euros. Cinq ans pendant lesquels les règles étaient connues, documentées, illustrées, et largement ignorées par des acteurs qui ne pouvaient sérieusement plaider l'ignorance. La formation restreinte le note d'ailleurs explicitement dans ses motivations.
80 %des violations de grande ampleur de 2024 reposaient sur un compte protégé par un simple mot de passeCNIL, formation restreinteQuatre-vingts pour cent des violations de grande ampleur constatées en 2024 ont été rendues possibles par un compte utilisateur protégé uniquement par un mot de passe. La technologie d'authentification multifacteur existe depuis vingt ans, son coût opérationnel a fondu, son intégration est documentée jusque dans les manuels grand public. Et pourtant le rapport 2025 montre que 17 802 violations ont été notifiées dans l'année, dont une grande part exploite exactement le vecteur que la CNIL conjure depuis dix ans. La connaissance du risque n'a jamais suffi à provoquer l'arbitrage.
Le sous-traitant comme angle mort
La deuxième bascule porte sur les sous-traitants, et c'est ici que la lecture du rapport devient inconfortable pour l'observateur informé. Deux éditeurs de solutions sont compromis dans l'année. L'un sert les professionnels du conseil patrimonial, l'autre les professionnels de santé libéraux. Chacun de ces deux incidents génère, en cascade, plusieurs milliers de notifications de violations par les cabinets clients qui se découvrent responsables de traitement d'un système qu'ils ne maîtrisaient plus vraiment. Au total, 11 635 notifications pour ces deux seuls événements. La CNIL doit retirer ces chiffres de son bilan annuel pour que la tendance générale reste lisible.
La présidente formule le constat avec mesure. Une part significative des incidents implique un sous-traitant à la sécurité défaillante. Le rapport ajoute que la concentration sectorielle aggrave le phénomène, puisqu'un seul éditeur peut servir des centaines voire des milliers d'organismes du même secteur.
L'inconfort vient de ce que ce constat n'est pas une découverte. L'ENISA, dans son exercice de prospective à horizon 2030 publié en 2023, classait déjà la compromission de la chaîne d'approvisionnement logicielle comme la première menace émergente sur la décennie. Les rapports techniques d'incidents de 2020 et 2021, à commencer par SolarWinds, avaient rendu le mécanisme visible pour quiconque suivait le sujet. Les CISO de grandes organisations en parlaient en conférence depuis cinq ans. Le rapport 2025 de la CNIL traite ce risque comme un phénomène à analyser désormais, alors qu'il était documenté, modélisé, et anticipé par la communauté technique depuis un demi-cycle de planification. Cinq ans de retard sur les experts qui avaient prévenu, traduits dans les chiffres d'un bilan annuel.
Ce décalage temporel n'est pas un défaut individuel de l'institution. Il est inhérent au mode opératoire d'un régulateur juridique, qui n'intègre un risque dans sa doctrine qu'après matérialisation statistique sur ses propres flux. Mais il pose une question pratique pour les responsables de traitement. Si l'autorité ne formalise le risque qu'après cinq ans de signaux convergents, l'audit de conformité fondé sur l'état du droit ne peut pas être confondu avec l'audit de résilience fondé sur l'état de la menace. Les organisations qui se contentent du premier accumulent une dette opérationnelle dont elles paieront le coût lors de l'incident, pas lors du contrôle.
L'aveu de l'interrégulation
La troisième bascule est celle que la présidente nomme explicitement et qui mérite d'être prise au mot. Elle parle d'une nouvelle ère, celle de l'interrégulation. Le terme n'est pas neutre. Il acte que la CNIL n'est plus l'autorité unique de son champ, qu'elle partage désormais des compétences avec la DGCCRF sur le RIA, avec l'ARCEP sur le DGA, avec l'ARCOM sur la publicité politique et le DSA, avec l'Autorité de la concurrence sur les sujets transversaux d'économie numérique. Cette intrication entraîne mécaniquement une augmentation de la charge de coordination, que la présidente concède sans détour : la mise en œuvre de ces nouvelles missions implique une concertation accrue avec de nombreux autres régulateurs, à travers des procédures qui souvent restent à construire.
Procédures qui restent à construire, dans un contexte où les textes sont déjà entrés en application. Cette phrase est lourde. Elle dit que le législateur européen a empilé les règlements plus vite que les autorités nationales n'ont pu organiser leur articulation, et que les régulés évoluent dans un cadre formel qui n'est pas encore opérationnellement praticable. Le sommet d'Helsinki de juillet 2025, où le CEPD adopte une déclaration visant à simplifier l'application du RGPD pour les petites et moyennes organisations, est en réalité un aveu de cette tension. La complexité de la régulation européenne est devenue elle-même un facteur de non-conformité, et les autorités le reconnaissent collectivement.
Quatre métiers pour une institution
La quatrième bascule concerne l'intelligence artificielle, et le rapport y consacre beaucoup d'espace pour une raison qui n'est pas seulement le calendrier d'entrée en application du RIA. La CNIL se voit attribuer, sous réserve de confirmation parlementaire, quatre rôles distincts en matière de régulation de l'IA. Ces quatre rôles ne sont pas une extension de ses missions, ce sont quatre métiers différents. Le premier est celui qu'elle exerce depuis dix ans, la protection des données personnelles dans les algorithmes. Le deuxième consiste à contrôler l'absence d'usage de systèmes d'IA interdits, ce qui suppose une expertise technique sur ce qui constitue un système prohibé. Le troisième est une fonction d'alerte au titre des droits fondamentaux, qui rapproche la CNIL d'une autorité quasi-constitutionnelle. Le quatrième est la surveillance de marché sur une large partie des systèmes d'IA à haut risque, dans des domaines aussi sensibles que la biométrie, l'emploi, la migration et les usages répressifs.
La présidente reconnaît que ce quatrième rôle place l'institution dans un mode opératoire qu'elle ne maîtrise pas encore. Elle évoque l'enjeu d'adapter sa façon de travailler à ce nouveau métier et de s'approprier le RIA sous un angle opérationnel. Autrement dit, l'autorité construit sa doctrine en marchant, et les acteurs qui déploient de l'IA en 2026 évolueront dans un cadre dont les contours pratiques se stabilisent en temps réel.
L'étude conduite avec le ministère du Travail et l'AFCDP, publiée en 2025, montre que soixante pour cent des DPO se déclarent souvent impliqués dans les projets d'IA et expriment un fort besoin d'accompagnement, tant technique que juridique. Le chiffre ne dit pas seulement que les DPO travaillent sur l'IA. Il dit que la fonction conçue en 2018 pour incarner la conformité au RGPD est en train de se déplacer vers une orchestration multi-textes qu'elle n'avait pas été dimensionnée pour assumer. Beaucoup de DPO en poste aujourd'hui n'ont pas le bagage technique pour évaluer les pipelines d'entraînement, les enjeux de mémorisation, les choix d'architecture. La CNIL ne le formule pas en ces termes, mais ses propres chiffres le révèlent.
La gymnastique des chiffres records
Le rapport annonce un montant total d'amendes de 486 839 500 euros, en hausse spectaculaire par rapport aux 55 millions de 2024. Le chiffre est mis en avant dans les chiffres clés, dans la communication, dans les bilans repris par la presse spécialisée. Il faut s'y arrêter, parce que sa structure raconte autre chose que ce qu'il prétend dire.
Sur ces 486 millions, 475 proviennent de deux décisions prises le même jour, le 1er septembre 2025, contre Google pour 325 millions et contre Shein pour 150 millions. Les deux décisions portent sur le même sujet : le non-respect de la législation cookies. Si l'on retire ces deux affaires, le total des amendes prononcées sur l'année tombe à environ 11 millions d'euros, soit cinq fois moins que l'année précédente. Le record n'est pas un record d'activité répressive, c'est un effet de concentration sur deux dossiers ciblés et longuement instruits.
Cela ne remet pas en cause la légitimité des sanctions. Google avait déjà été sanctionné deux fois pour des faits comparables, Shein opérait à une échelle massive en pleine connaissance des règles. Le manquement est documenté et la peine paraît proportionnée. Mais le décalage entre l'affichage médiatique du chiffre et la réalité de la pratique répressive mérite d'être nommé.
Le sujet cookies est un sujet de second rang dans la hiérarchie des risques. Le traçage publicitaire non consenti porte atteinte à la vie privée mais il ne fait pas tomber un système de santé, ne fuite pas les données de plusieurs millions de citoyens, ne paralyse pas une administration. Les violations massives qui touchent un opérateur de téléphonie, un ministère régalien, une fédération sportive sont d'une nature de risque totalement différente, et c'est sur ces sujets que la maturité des acteurs reste la plus faible. Le rapport le reconnaît implicitement quand il consacre tout un chapitre à la sécurité des grandes bases de données.
Or sur ces sujets-là, le volume des amendes reste modeste. La procédure simplifiée prononce des sanctions plafonnées à 20 000 euros par décision. Les manquements graves sur la sécurité, qui exigent une instruction longue et une démonstration technique fine, sortent rarement avec des montants exemplaires. La CNIL a les moyens de frapper fort sur les sujets juridiquement clairs comme les cookies, et elle peine à frapper fort sur les sujets opérationnellement complexes comme la défaillance d'un sous-traitant ou la cartographie d'une intrusion.
Le résultat produit une asymétrie d'incitation qu'il faut regarder en face. Un acteur économique rationnel qui lit ces 486 millions et qui s'interroge sur sa priorité de mise en conformité aura tendance à investir dans son bandeau cookies et son consent management platform avant d'investir dans son authentification multifacteur, dans son audit de sous-traitants, ou dans sa supervision des accès distants. Ce n'est pas que le bandeau cookies soit sans intérêt, c'est que l'arbitrage d'allocation des ressources se fait par signal, et le signal envoyé par les chiffres records est trompeur sur la hiérarchie réelle des risques.
Plus de missions, mêmes moyens
Reste la question des moyens, qui structure tout le reste sans toujours apparaître au premier plan. La CNIL dispose en 2025 de 30,2 millions d'euros de budget et de 303 agents, avec six créations de postes dans l'année et zéro création prévue pour 2026. Dans le même temps, ses missions s'étendent dans toutes les directions sous l'effet du DSA, du DGA, de la loi SREN, du règlement publicité politique, et du RIA. Le secrétaire général adjoint reconnaît que cette double tendance, alors que le contexte budgétaire ne permet pas une augmentation des effectifs en proportion, oblige la CNIL à mieux prioriser son activité. Mieux prioriser, dans le langage administratif, signifie renoncer à certains contrôles, à certaines réponses, à certains accompagnements. Le rapport ne dit pas lesquels, mais le lecteur attentif peut anticiper le mouvement. La pression de contrôle va se concentrer là où l'institution peut faire jurisprudence et médiatiser, c'est-à-dire sur les acteurs majeurs, sur les violations massives, sur les sujets qui peuvent fonder une amende exemplaire.
Pour le reste du tissu économique, le contrôle reste statistiquement improbable. Ce qui ne signifie pas qu'il faille relâcher l'effort, mais que la motivation à se mettre en conformité ne peut plus venir uniquement de la peur du régulateur. Elle doit s'enraciner dans une compréhension de la résilience opérationnelle, qui est une autre conversation, plus lente, plus difficile à mener avec un comité de direction.
Charnière
Le rapport 2025 de la CNIL n'est donc pas un document homogène. Il superpose un bilan d'activité, un constat de tension institutionnelle, et un programme implicite de transformation. La présidente parle de charnière. Le mot est juste, mais il faut entendre dans charnière la double dimension du basculement et de la fragilité. Une charnière articule, et elle peut aussi céder.
Plusieurs questions restent ouvertes à la lecture. Comment l'autorité va-t-elle exercer concrètement son rôle de surveillance de marché sans expertise technique dimensionnée pour cela. Comment la coordination entre régulateurs européens va-t-elle se stabiliser sans alourdir encore la charge des régulés. Comment le DPO va-t-il évoluer dans une fonction qui demande désormais une compétence cross-disciplinaire que beaucoup n'ont pas. Comment les organisations vont-elles intégrer la cascade sous-traitants dans une cartographie de risques qui, pour la plupart, ne la voyait pas il y a encore trois ans. Et comment expliquer à un comité de direction que le bandeau cookies n'est pas le sujet principal, quand l'autorité elle-même semble dire le contraire à travers ses chiffres records.
Le rapport ne répond à aucune de ces questions. Il les pose, plus ou moins explicitement, et il laisse les acteurs s'en débrouiller. C'est probablement la meilleure indication de la position réelle du régulateur en 2026. Il a cessé de prétendre tout savoir, et il a commencé à demander aux régulés d'en faire autant.
Questions fréquentes
Pourquoi le record d'amendes 2025 de la CNIL est-il trompeur ?
Sur les 486,8 M€ annoncés, 475 M€ proviennent de deux décisions cookies prises le même jour contre Google (325 M€) et Shein (150 M€). En les retirant, le total des amendes de l'année tombe à environ 11 M€, soit cinq fois moins qu'en 2024.
Quel est le principal angle mort identifié dans le rapport ?
La défaillance des sous-traitants. Deux éditeurs compromis dans l'année ont provoqué en cascade 11 635 notifications de violations, au point que la CNIL a dû les retirer de son bilan pour garder la tendance lisible. Le risque était pourtant documenté par l'ENISA dès 2023.
Qu'est-ce que l'« interrégulation » que mentionne la CNIL ?
C'est le partage de compétences de la CNIL avec d'autres autorités (DGCCRF, ARCEP, ARCOM, Autorité de la concurrence) sur les nouveaux textes européens. La présidente concède que les procédures de coordination « restent à construire » alors que les textes sont déjà en application.
Quels nouveaux rôles la CNIL assume-t-elle sur l'IA ?
Sous réserve de confirmation parlementaire, quatre métiers distincts : protection des données dans les algorithmes, contrôle des IA interdites, alerte au titre des droits fondamentaux, et surveillance de marché des systèmes à haut risque (biométrie, emploi, migration, répression).
Les moyens de la CNIL suivent-ils l'élargissement de ses missions ?
Non. La CNIL dispose en 2025 de 30,2 M€ de budget et 303 agents, avec zéro création de poste prévue pour 2026, tandis que ses missions s'étendent sous l'effet du DSA, du DGA, de la loi SREN et du RIA. L'autorité doit donc « mieux prioriser ».
Sources & méthodologie
- CNIL, Rapport annuel 2025
- CNIL, Délibérations du 1er septembre 2025 (Google, Shein), législation cookies
- ENISA, Foresight 2030 Threat Landscape (2023)
- CEPD/EDPB, Déclaration du sommet d'Helsinki, juillet 2025
- Étude CNIL / ministère du Travail / AFCDP sur les DPO et l'IA (2025)

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
