Avec 5629 notifications, les violations de données ont augmenté de 20% en 2024, selon la Cnil

Les nouvelles ne sont pas bonnes : les notifications pour violation de données personnelles, soit une fuite de données, une attaque ou encore une perte de matériel, ont augmenté de 20% en 2024. La Commission nationale de l’informatique et des libertés (Cnil) a ainsi reçu 5629 notifications, d’après son rapport publié ce mardi 29 avril 2025.

Un phénomène d’une ampleur inédite

L’autorité française dénonce « une ampleur inédite« . « Les violations de données ont été non seulement plus nombreuses mais aussi d’une plus grande ampleur, entraînant le vol de données de millions de Français« , écrit-elle. Dans le détail, le nombre de violations touchant plus d’un million de personnes a ainsi doublé en un an, passant d’une vingtaine à une quarantaine d’attaques réussies. Les exemples d’entités touchées sont malheureusement nombreux : France Travail, Free, Boulanger, Auchan…

Précision intéressante : la Cnil rapporte des défauts de sécurité « récurrents« . Les informations obtenues à la suite d’une fuite de données montrent que les informations de connexion utilisées pour l’attaque avaient été compromises, les intrusions et exfiltrations n’ont pas été détectées par l’organisme avant la mise en vente des données et qu’une part significative des incidents impliquait un sous-traitant.

La Cnil a traité autant de plaintes qu’elle en a reçues

Plus généralement, dans son bilan, la Commission fait état de 15 639 plaintes traitées en 2024, dont 5771 plaintes rejetées car irrecevables (par rapport à la problématique soulevée ou défaut de preuve de la potentielle violation…). Il s’agit d’un nouveau record avec une hausse de 8% par rapport à 2023. A noter que, pour la troisième année consécutive, l’autorité est parvenue à traiter autant de plaintes qu’elle en a reçues. La seule exception est la série de 2423 plaintes relatives à la violation de données de Free, car « arrivée en fin d’année et ayant justifié une procédure de contrôle impliquant des investigations approfondies toujours en cours« .

Pour la majorité, l’objet des plaintes reste très lié « aux difficultés quotidiennes des personnes« , dans leur vie numérique, sur leur lieu de travail ou dans leurs achats. 49% des plaintes portaient sur « les télécoms, web et réseaux sociaux », 19% liées au commerce et 13% au travail. Dans ce cadre, la Cnil a prononcé 18 sanctions selon la procédure ordinaire par la formation restreinte, l’organe de la CNIL en charge de prononcer les sanctions.

54,4 millions d’euros d’amendeS

Ces sanctions comportent 13 amendes (dont 2 assorties d’une injonction sous astreinte) et 2 décisions de liquidation d’astreinte (le paiement d’une somme en raison du non-respect d’un ordre donné par la Cnil dans sa décision de sanction) pour un montant total de 54 496 900 euros. Trois rappels à l’ordre ont, par ailleurs, été prononcés.

Face à l’enjeu majeur des violations de données, la Commission a fait de la cybersécurité l’un de ses axes stratégiques jusqu’en 2028. Son action se traduit par l’accompagnement des organismes, en produisant des recommandations permettant de protéger les données personnelles au regard de l’évolution de la menace et de l’état de l’art, des contrôles sur la mise en œuvre de mesures de sécurité par les organismes, ainsi que de l’information et la sensibilisation des particuliers à la cybersécurité pour les rendre acteurs de la protection de leurs données. Elle a également renforcé sa collaboration avec l’Agence nationale de la sécurité des systèmes d’information (Anssi).