« En 2025, les brèches se sont multipliées, touchant successivement le secteur de la santé via des prestataires de tiers payant, des opérateurs télécom, des administrations publiques déjà fragilisées et même des dispositifs d’aide sportive gérés par l’État », peut-on lire dans un baromètre des fuites de données personnelles publié par le Forum Incyber en partenariat avec l’association de cybersécurité Hexatrust et la Cnil.

En 2025, la France a, selon les auteurs du rapport, « vécu une véritable ''année noire'' en matière de données personnelles. » 

Une augmentation de 45 % en un an 

« Chaque jour en France, 24 fuites de données sont déclarées à la Cnil », rappellent les auteurs du baromètre.

Les violations de données ne font qu’augmenter depuis ces dernières années. En 2024, la Cnil enregistrait 5 629 notifications de violations de données. C’était déjà 20 % de plus par rapport à l’année 2023. Mais 2025 marque un vrai tournant : 8 613 violations de données personnelles ont été notifiées à la Cnil entre septembre 2024 et septembre 2025, soit une hausse de 45 % en un an.

Selon le baromètre, cette recrudescence des fuites de données s’explique avant tout par une montée en puissance des attaques malveillantes. Parmi les incidents de sécurité pouvant entrainer une fuite des données, les fuites accidentelles sont minoritaires (1 655 en 2025) même si elles augmentent de près de 39 % par rapport à 2024. Les fuites malveillantes sont, elles, bien plus nombreuses : alors qu’on recensait 3 649 fuites malveillantes en 2024, on en compte 5 841 en 2025, soit une hausse de 60 %. 

Cette progression s’accompagne d’une généralisation de certaines cyberattaques comme le phishing, les infostealers et le vol d’identifiant. Pour mémoire, le phishing ou l’hameçonnage en français est une technique frauduleuse destinée à leurrer l'internaute pour l'inciter à communiquer des données personnelles. Les infostealers sont des logiciels malveillants permettant d’exfiltrer les données sensibles.

Les administrations publiques particulièrement touchées

Les administrations publiques apparaissent comme un secteur très affecté par les fuites de données et ce de manière durable. En 2024, 937 administrations publiques ont été concernées par ces incidents et 976 en 2025. Contrairement aux autres secteurs, on ne note pas de réelle augmentation. Cependant, en 2024, l’administration publique était le secteur le plus touché par les fuites de données.

En 2025, la première place est prise par le secteur des activités financières et assurance avec 2 153 structures concernées, un chiffre en hausse de 143 % par rapport à 2024. Ces structures possèdent en effet des données très sensibles comme les coordonnées bancaires ou encore les documents d’identité. En 2025, le rapport de l’Autorité bancaire européenne (EBA) mettait en évidence une hausse significative du risque cyber dans le secteur financier aggravé par les tensions géopolitiques.

Globalement, alors que 8 millions de personnes ont été touchées par les fuites de données en 2024, le chiffre pour 2025 est estimé à 12,2 millions de personnes, soit une augmentation de 53 %. 

Augmenter le niveau de sécurité des usages numériques

Dans ce contexte d’accroissement des violations de données de grande ampleur, il est nécessaire d’augmenter le niveau de sécurité des usages numériques. 

La Cnil, qui a dévoilé hier son « programme de travail pour 2026 » , a annoncé son intention de poursuivre « la publication de recommandations visant à augmenter la sécurité des données personnelles, en ciblant des cas d’usage où les risques pour les personnes concernées sont particulièrement importants. »  La Cnil va également publier prochainement « la version finale de sa recommandation mise à jour sur les systèmes de vote électronique à distance. » 

La Cnil va également mettre en consultation publique son projet de recommandation sur la sécurisation des échanges de données personnelles, en particulier via les messageries électroniques, ainsi qu’un projet de recommandation sur la vérification d’identité à distance.

Rappelons enfin qu’avec le Règlement général sur la protection des données (RGPD), les collectivités ont l’obligation de protéger les données personnelles. Le RGPD impose aussi « à toute collectivité territoriale, quelle que soit sa taille, de désigner un délégué à la protection des données (DPD) qui sera le pilote de sa mise en conformité ». Selon les dernières évaluations de la Cnil, si les collectivités répondent globalement toutes à cette obligation, les DPD ne sont pas tous égaux dans leur capacité à exercer correctement leurs missions notamment dans les plus petites collectivités qui manquent de moyens (lire Maire info du 24 janvier 2024).

La transposition à venir de la directive NIS 2 – qui accumule les retards – va aussi participer à lutter contre cette montée en puissance de violations de données (lire Maire info du 15 octobre). Cette directive vise à atteindre collectivement une immunité cyber nationale, en imposant à certains acteurs, dont des collectivités, le respect de certains objectifs cyber. En attendant, le projet de loi adopté en mars 2025 au Sénat n’a toujours pas été examiné par l’Assemblée nationale. Il devrait l’être en juillet prochain… 

Suivez Maire info sur Twitter : @Maireinfo2