80 % des violations de données personnelles auraient été évitables ?
C’est le constat de la Présidente de la CNIL en début d’année 2026.
Dans le même temps, 2025 est présentée par certains comme une « année noire ». Les notifications se multiplient et touchent désormais des infrastructures et services structurants, exposant des volumes significatifs de données.
La cybersécurité figure désormais au premier rang des priorités stratégiques de l’autorité de régulation pour 2025-2028, dans un contexte de menaces géopolitiques grandissantes…
Que faut-il en retenir pour les entreprises et organisations?
Pour la CNIL, les violations ne relèvent pas d’une fatalité technologique, mais résultent souvent de mesures de sécurité insuffisantes.
– L’authentification multifacteur est désormais considérée comme une mesure élémentaire pour les accès distants aux bases sensibles. Son absence pourra difficilement être justifiée au regard de l’article 32 du RGPD.
– Avec un taux de recouvrement des amendes supérieur à 95 %, la CNIL démontre l’effectivité de son action. La procédure simplifiée lui permet en outre de traiter plus rapidement des manquements moins complexes, y compris au sein de structures de taille intermédiaire.
– Le risque ne se limite plus à l’amende administrative. Selon les circonstances, il peut s’étendre à la responsabilité pénale et à la responsabilité des dirigeants.
Découvrez notre décryptage 👇 ICI