Quand vous créez un compte, commandez en ligne ou téléchargez une application, vous confiez à une entreprise de nombreuses données : nom, adresse, parfois carte bancaire, historique de commandes, identifiants, etc. Cette entreprise n'a pas le choix sur ce qu'elle doit faire ensuite : la loi européenne lui impose une obligation de sécurité. La CNIL publie depuis vingt ans un guide qui détaille ce que cela veut dire en pratique. Et son rapport 2025 (publié le 18 mai 2026, cnil.fr) chiffre la facture pour celles qui s'en dispensent : 487 millions d'euros d'amendes en une seule année.
Ce que vous pouvez raisonnablement attendre n'est pas mystérieux. Il est même écrit noir sur blanc.
L'article 32, ce passage du RGPD qui change tout
Le règlement européen pose une obligation claire à l'article 32 : « [...] le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le texte intégral précise en amont que ce niveau doit tenir compte « de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ».
Traduction : toute organisation qui détient vos données doit les protéger selon le niveau de sensibilité des données. Une simple liste d'inscription à une newsletter n'exige pas la même rigueur qu'un dossier médical ou qu'un fichier de mots de passe.
Ce qui change avec le RGPD, depuis 2018, c'est que cette obligation n'est plus seulement morale. Elle est sanctionnable et la CNIL peut contrôler. En 2025, l'autorité a mené 323 contrôles et rendu 83 sanctions pour 487 M€, un record.
Le guide CNIL : ce que les entreprises doivent vraiment faire
Pour aider les organisations à comprendre concrètement leurs obligations, la CNIL publie un guide de la sécurité des données personnelles dont la dernière édition date du 26 mars 2024 (cnil.fr). Pas un texte de loi, pas une recommandation vague : 25 fiches très opérationnelles, réparties en cinq parties, qui décrivent les précautions élémentaires à mettre en œuvre. C'est aussi le document de référence utilisé par la CNIL elle-même pour juger si une entreprise a fait le minimum.
Cinq nouvelles fiches ont été ajoutées en 2024 sur des sujets devenus incontournables : l'intelligence artificielle, les applications mobiles, l'informatique en nuage (cloud), les interfaces de programmation (API) et le pilotage interne de la sécurité.
Si on devait traduire ce que recommande ce guide pour le grand public :
-
sensibiliser le personnel,
-
authentifier les utilisateurs (mots de passe robustes, double authentification quand c'est sensible),
-
gérer les habilitations (tout le monde n'a pas à voir tout),
-
tracer les accès,
-
chiffrer les données les plus exposées, sauvegarder,
-
encadrer les sous-traitants,
-
gérer les violations quand elles surviennent.
Rien d'exotique. Le problème n'est pas que les règles soient compliquées : c'est qu'elles sont régulièrement ignorées.
Ce que vous pouvez observer de l'extérieur
Vous n'aurez jamais accès au registre de traitements d'une entreprise. Mais plusieurs signaux observables disent déjà beaucoup.
Le site charge-t-il en HTTPS partout, pas seulement sur la page de paiement ? Un cadenas absent ou intermittent indique un site qui n'a pas pris le temps de fermer la porte d'entrée. Ce n'est pas rédhibitoire pour un blog public ; ça l'est pour un site qui collecte un compte.
La double authentification est-elle proposée ? Pour un service qui héberge des données un peu sensibles (banque, santé, mais aussi messagerie ou cloud personnel), l'absence d'option 2FA est un signal négatif sérieux en 2026. La CNIL la considère comme une mesure de référence dans son guide.
La politique de confidentialité dit-elle qui sont les sous-traitants et où sont stockées les données ? Le RGPD impose cette transparence aux articles 13 et 14. Une mention vague du type « nous pouvons partager vos données avec nos partenaires » sans nommer les catégories de destinataires reste en deçà de ces exigences d'information, pas seulement d'un standard de soin.
L'entreprise a-t-elle déjà subi une violation de données et comment l'a-t-elle gérée ? Une fuite n'est pas en soi un manquement. Le manquement, c'est de ne pas notifier l'autorité de contrôle dans les 72 heures (article 33 du RGPD), de ne pas informer les personnes concernées « dans les meilleurs délais » quand la violation présente un risque élevé (article 34) ou de minimiser publiquement l'incident. Une recherche rapide sur le nom de l'entreprise associé à « fuite » ou « violation de données » donne souvent une idée nette.
Ce qui ressort des 487 millions d'amendes 2025
Les sanctions CNIL ne sont pas distribuées au hasard. Quand on lit ce qui revient le plus souvent, ce sont les mêmes manquements : défaut de sécurité (mots de passe stockés en clair, absence de chiffrement, mauvaise gestion des habilitations), absence de notification des violations dans les délais, conservation excessive des données, défaut de transparence sur les sous-traitants et les transferts hors UE.
Autrement dit, la grande majorité des sanctions pourrait être évitée en appliquant le guide de la CNIL. Que tant d'entreprises continuent de s'en dispenser, alors que le document est public et gratuit et qu'il sert d'outil d'évaluation pour les contrôles, en dit long sur la place réelle qu'occupe la protection des données dans beaucoup d'organisations françaises.
Si vous constatez un défaut
Si vous identifiez une faille de sécurité sur un service que vous utilisez (mot de passe envoyé en clair par mail, fuite publique, accès à des données d'autres utilisateurs), trois leviers concrets existent.
Vous pouvez contacter le délégué à la protection des données (DPO) de l'organisation. L'article 37 du RGPD impose sa désignation notamment lorsque les activités de base impliquent un suivi régulier et systématique de personnes à grande échelle ou le traitement à grande échelle de données dites sensibles, ainsi que pour les autorités et organismes publics. Beaucoup d'autres structures en désignent un volontairement. Une recherche « DPO + nom de l'entreprise » suffit en général.
Vous pouvez signaler une violation à la CNIL via le formulaire en ligne (cnil.fr/fr/notifier-une-violation-de-donnees-personnelles). Ce canal est prévu pour les responsables de traitement, l'autorité accepte cependant les signalements de personnes physiques quand un incident est visible.
Vous pouvez enfin déposer une plainte CNIL si vos données ont été affectées et que l'entreprise refuse de répondre ou minimise. La CNIL a reçu plus de 20 000 plaintes en 2025, en hausse de 10 % sur un an, selon son rapport annuel déjà cité. Ce n'est pas une démarche symbolique : elle déclenche un examen et, dans les cas avérés, peut aboutir à un contrôle.
Le décalage qui devrait nous interpeller
La sécurité des données ne souffre ni de flou réglementaire ni d'opacité technique. Le cadre existe, le guide est public, les sanctions tombent. Le décalage persistant entre ce qui est demandé et ce qui est fait n'est pas un problème de connaissance, c'est un arbitrage économique : tant que le risque de sanction reste perçu comme inférieur au coût de mise en conformité, beaucoup d'organisations choisissent l'inaction. Les 487 millions d'euros de 2025 sont là pour faire pencher la balance dans l'autre sens. Une fuite, ce n'est pas une fatalité : c'est presque toujours un manquement à des règles que la CNIL a pris la peine d'écrire.