La CNIL a publié le 18 mai 2026 son rapport annuel pour l'exercice 2025. L'année se caractérise par un volume inédit d'activité : 20 150 plaintes reçues (+10 % vs 2024), 323 contrôles menés, 83 sanctions prononcées pour un montant total de 487 millions d'euros (record historique), 6 167 violations de données notifiées (+9,5 %) dont la moitié relève du piratage informatique.
La CNIL a également traité 539 demandes d'autorisation en santé, 1 351 demandes de conseil professionnel et rendu 90 avis sur projets de textes.
L'annonce structurante pour 2026 : la CNIL consacrera 50 % de ses contrôles et actions répressives à la cybersécurité des données. Les organismes concernés par une violation, faisant l'objet de plaintes, ou appartenant à des secteurs traitant massivement des données sensibles seront prioritairement ciblés. Les autres thématiques 2026 incluent le recrutement, le répertoire électoral unique et les fédérations sportives.
Pour les TPE et PME, le message est clair : la sécurité des données personnelles, prévue par l'article 32 du RGPD, devient un point d'attention contrôle majeur.