L’autorité française de protection des données, la Commission nationale de l’informatique et des libertés (CNIL, s’inquiète face à la multiplication des atteintes à la sécurité des données personnelles sur le territoire national. Au-delà de cette hausse notable, la tendance la plus préoccupante est celle d’une recrudescence des violations de très grande ampleur. Le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies. Cette tendance s’est poursuivie de manière accélérée sur le premier trimestre 2025, avec 2 500 violations de données enregistrées par la CNIL sur cette période. 2024, une année marque par des violations de données d’une ampleur inédite L’année 2024 a été marquée par de nombreuses cyberattaques ayant abouti à la divulgation d’informations privées sur des millions de Français, comme des noms, adresses postales ou mails, et parfois des données bancaires. Tous les secteurs d’activités, privés et publics, sont concernés. Parmi les victimes notables en 2024, on se souvient de France Travail, Free, les opérateurs de tiers payant Viamedis et Almerys, Auchan, Molotov, Truffaut, Cultura, Boulanger, SFR ou encore l’Assurance retraite. Le début de l’année 2025 a vu d’autres enseignes touchées, comme La Poste, Chronopost, Kiabi, Indigo, Easy Cash ou Alain Afflelou. Selon les informations recueillies par la CNIL à la suite des violations ou lors de contrôles, les modes opératoires des attaquants sont souvent similaires et exploitent régulièrement les mêmes failles. La CNIL en identifie trois principales : les informations de connexion utilisées pour l’attaque avaient été compromises ; les intrusions et exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des jeux de données ; une part significative des incidents impliquait un sous-traitant. Sur les 5 629 violations reportées en 2024, 55 % résultaient d’attaques informatiques directes (telles que les rançongiciels ou le hameçonnage), tandis que 20 % découlaient d’erreurs humaines internes. Pour Marie-Laure Denis, la présidente de la CNIL, les grandes bases de données « ne sont pas assez protégées ». Elle évoque des « manquements » et affirme que la véritable interrogation n’est pas de savoir si une cyberattaque surviendra, mais plutôt quand. La présidente met également en lumière l’impact du télétravail, soulignant que les vulnérabilités liées aux accès distants n’ont pas été suffisamment prises en compte depuis la crise sanitaire. Face à ce phénomène alarmant, la CNIL adresse des recommandations aux personnes et aux entreprises pour s’en prémunir. La Commission insiste sur la nécessité d’adopter des mesures de sécurité proportionnées aux risques identifiés. Parmi les mesures basiques indispensables, la CNIL cite notamment d’« effectuer les mises à jour sans tarder, afin d’éviter l’exploitation d’une faille de sécurité » et d’« adopter des mots de passe suffisamment robustes, différents pour chaque compte ». Elle recommande aussi de « réaliser une sensibilisation périodique des utilisateurs, pour inclure l’humain comme acteur de la sécurité » ou encore de « protéger les accès à la messagerie pour qu’elle ne serve pas de point d’entrée d’une attaque ». Enfin, elle insiste sur l’importance d’« effectuer des sauvegardes régulières, dont une déconnectée, pour être en capacité de retrouver des données saines ». La CNIL veut imposer la double authentification La Cnil met également l’accent sur des mesures techniques plus sophistiquées, recommandées en collaboration avec l’ANSSI, qui peuvent considérablement élever le niveau de sécurité. Selon Marie-Laure Denis, plus de « 80 % des grandes violations de données » enregistrées en 2024 auraient pu être évitées grâce à une précaution relativement simple : l’authentification à double facteur (ou double authentification). Pour cette raison, la Cnil va publier une recommandation cette semaine pour exiger la double authentification à partir de 2026. Les salariés, partenaires ou sous-traitants se connectant à distance à une très grosse base de données (de plusieurs millions de personnes) devront être obligés de fournir un second facteur d’identification en plus de leur mot de passe. L’année 2024 a aussi été marquée par l’activité répressive de la CNIL, qui a infligé plus de 55 millions d’euros d’amendes à des entreprises au travers de 87 sanctions distinctes. Le nombre de sanctions a plus que doublé sur un an. Cette intense activité répressive répond en partie à une sollicitation accrue puisque la CNIL a reçu 17 772 plaintes en 2024, soit 8 % de plus qu’en 2023, et en a traité plus de 15 000 (la seule exception est la série de 2 423 plaintes relatives à la violation de données de Free, indique l’autorité). D’ailleurs, plus de la moitié des dossiers ayant abouti à une sanction en 2024 avaient pour origine une plainte. Les sanctions ont notamment visé des insuffisances en matière de sécurité, comme l’usage de mots de passe non sécurisés ou de protocoles obsolètes. Rapport annuel : le bilan et les actions marquantes de la CNIL en 2024 (PDF)