Archives par mot-clé : sécurité des données

Cybersécurité, Entreprise, Justice, loi

La CNIL durcit le ton en 2025, amendes record

En 2025, la CNIL a tranché 259 fois, avec 83 sanctions et près de 486,8 millions d’euros d’amendes. Derrière ces chiffres, une pression nette sur les traceurs, la surveillance au travail et la sécurité.

La CNIL dresse un bilan 2025 marqué par 259 décisions, dont 83 sanctions, 143 mises en demeure, 31 rappels aux obligations légales et 2 avertissements. Les sanctions totalisent 486 839 500 euros, réparties entre 78 amendes, des injonctions sous astreinte, trois liquidations d’astreinte et deux rappels à l’ordre, avec dix décisions rendues publiques. Les cookies et traceurs restent un front prioritaire, avec 21 sanctions et deux amendes majeures à 325 millions et 150 millions d’euros. La CNIL cible aussi la vidéosurveillance des salariés, les sous-traitants et, via les mises en demeure, l’aide sociale à l’enfance et les services en ligne utilisés par des mineurs.

Cookies, traceurs, et l’illusion du consentement

Le chiffre frappe d’emblée : 486 839 500 euros d’amendes cumulées pour 83 sanctions en 2025. Ce total n’est pas qu’un record comptable, il raconte une ligne de conduite. La CNIL veut faire comprendre qu’un bandeau de cookies mal conçu n’est plus une “erreur de paramétrage”, mais un dispositif qui peut priver l’internaute d’un choix réel. Sur l’année, 16 sanctions ont été rendues par la formation restreinte, dans la procédure dite ordinaire, tandis que 67 ont été décidées dans le cadre simplifié instauré en 2022, par le président de la CNIL ou un membre de cette formation. Le message est simple : l’arsenal existe, il est utilisé, et il va vite.

Dans le détail, le paquet de sanctions comprend 78 amendes, dont 27 assorties d’injonctions sous astreinte. À cela s’ajoutent trois décisions de liquidation d’astreinte, autrement dit le paiement exigé quand un organisme n’exécute pas l’ordre donné dans une sanction précédente, et deux rappels à l’ordre. Dix décisions ont été rendues publiques, un levier de réputation que l’autorité active quand l’exemplarité devient un outil de conformité.

La bataille la plus lisible reste celle des cookies et autres traceurs. Cinq ans après ses lignes directrices et ses recommandations, la CNIL a poursuivi son plan d’action et ses contrôles ont mis au jour des non-conformités. Vingt-et-un acteurs ont été sanctionnés pour des manquements variés : dépôt de traceurs sans consentement, informations trop pauvres pour permettre un accord éclairé, refus de l’utilisateur ignoré, ou retrait du consentement rendu inopérant. L’enjeu, souligné par les décisions, tient à l’asymétrie : des données peuvent être collectées et exploitées sans que la personne s’en rende compte, ou sans qu’elle puisse réellement s’y opposer.

Le durcissement s’incarne surtout dans deux amendes massives, à 325 millions et 150 millions d’euros. L’argument de l’autorité est frontal : les règles ne sont plus nouvelles, la CNIL dit avoir largement communiqué dessus depuis des années, et les acteurs concernés ne pouvaient pas prétendre les découvrir. Derrière la conformité juridique, c’est un sujet de renseignement économique et d’influence qui affleure : maîtriser les traceurs, c’est maîtriser les flux de données qui alimentent le profilage, la mesure d’audience, le ciblage et, parfois, des chaînes de sous-traitance difficiles à cartographier.

Surveillance au travail, sous-traitants et sécurité des données

Un autre terrain révèle la même tension entre sécurité et contrôle : la vidéosurveillance des salariés. En 2025, 16 organismes ont été sanctionnés pour non-respect du cadre applicable. La CNIL rappelle une limite : en dehors de circonstances exceptionnelles, par exemple liées à des exigences particulières de sûreté ou à la lutte contre le vol, une captation vidéo permanente constitue une atteinte aux données personnelles. Filmer en continu des caissiers ou des bureaux, c’est transformer l’outil de protection en instrument de suivi. Plus sensible encore, les caméras dissimulées ne peuvent être tolérées qu’à titre exceptionnel, et seulement si l’équilibre est respecté entre l’objectif poursuivi, protéger biens et personnes, et la vie privée des salariés.

La CNIL insiste aussi sur un point souvent sous-estimé dans les organisations : la responsabilité des sous-traitants. Au-delà des dossiers cookies et vidéosurveillance, la formation restreinte a sanctionné des manquements aux obligations liées aux données confiées. Le rappel est net : mettre en place des mesures techniques et organisationnelles adaptées au niveau de risque, n’agir que sur instruction du responsable de traitement, et effacer les données à la fin de la relation contractuelle. Ici, la dimension cyber est immédiate : une chaîne de sous-traitance mal gouvernée élargit la surface d’attaque, multiplie les comptes, les accès, les copies, et rend l’incident plus probable comme plus opaque.

La procédure simplifiée, elle, dessine une typologie des fautes répétées. Trois motifs dominent en 2025 : sécurité insuffisante, absence de coopération avec la CNIL, et non-respect des droits des personnes. Quatorze organismes ont été épinglés pour ne pas avoir déployé toutes les mesures nécessaires à la confidentialité, avec des exemples concrets comme des mots de passe trop faibles ou des comptes partagés entre utilisateurs. Quatorze autres ont été sanctionnés pour n’avoir pas répondu aux sollicitations de la CNIL. Enfin, quatorze décisions visent la mauvaise prise en compte de demandes d’effacement, d’opposition ou d’accès, là où le RGPD impose une mécanique de réponse traçable.

La prospection, commerciale comme politique, n’échappe pas au contrôle : dix sanctions concernent des opérations de démarchage. La CNIL rappelle que la prospection électronique requiert le consentement, qu’il s’agisse d’envoi direct ou de transmission des données à des partenaires. Elle a aussi sanctionné cinq candidats aux élections européennes et législatives de 2024, en soulignant l’obligation de pouvoir prouver la licéité des messages envoyés.

À côté des sanctions, 143 mises en demeure structurent la prévention sous contrainte. Plusieurs concernent l’aide sociale à l’enfance, avec des manques sur la conservation des dossiers de mineurs, l’information des personnes, la gestion des habilitations et des mots de passe, la tenue du registre des traitements, ou encore la réalisation d’une analyse d’impact. D’autres visent des sites qui déposaient des traceurs sans offrir un refus simple, ou sans respecter le retrait du consentement. Enfin, des applications mobiles et des jeux en ligne, dont une part importante des usagers sont mineurs, ont été mis en demeure de renforcer le contrôle de l’âge et d’améliorer la transparence.

Dans tous les cas, la CNIL verrouille un principe souvent oublié : les amendes, qu’elles touchent le public ou le privé, sont recouvrées par le Trésor public et versées au budget de l’État.

Au fond, ce bilan 2025 décrit une même logique de cyber-renseignement : réduire les angles morts de la donnée, là où se nichent à la fois le risque d’attaque et la tentation de surveiller.

Cybersécurité, Entreprise, Fuite de données, Justice, loi, RGPD

La CNIL sanctionne une publicité ciblée sans consentement valable

Données de fidélité détournées, information défaillante et sécurité insuffisante, la CNIL inflige une lourde sanction financière pour rappeler les règles encadrant la publicité ciblée sur les réseaux sociaux.

En janvier 2023, la CNIL a mené plusieurs contrôles auprès d’une société utilisant les données de son programme de fidélité à des fins de publicité ciblée sur un réseau social. Depuis février 2018, les adresses électroniques et numéros de téléphone de plus de 10,5 millions de personnes avaient été transmis afin d’afficher des publicités personnalisées. À l’issue de l’enquête, la formation restreinte de la CNIL a prononcé une amende de 3,5 millions d’euros pour plusieurs manquements au RGPD et à la loi Informatique et Libertés. La décision, adoptée en coopération avec 16 autorités européennes, met en lumière les risques juridiques et cyber liés à l’exploitation des données marketing à grande échelle.

Une exploitation massive des données de fidélité

Les contrôles réalisés par la CNIL ont mis en évidence une pratique installée dans la durée. Depuis février 2018, la société concernée transmettait les coordonnées électroniques des membres de son programme de fidélité à un réseau social. Ces informations permettaient d’afficher des publicités ciblées visant à promouvoir les produits vendus par l’entreprise. Le traitement portait sur un volume très important de données, concernant plus de 10,5 millions de personnes.

À l’issue de l’enquête, la formation restreinte, organe chargé des sanctions, a estimé que plusieurs obligations essentielles n’étaient pas respectées. Elle a prononcé une amende de 3,5 millions d’euros, un montant justifié par la gravité des manquements et l’ampleur du public concerné. La décision a été prise en coopération avec 16 homologues européens, les données de résidents de ces pays étant impliquées.

La CNIL a également choisi de rendre publique sa délibération. Elle a considéré que la publicité ciblée sur les réseaux sociaux étant largement répandue, il était nécessaire de rappeler les règles applicables. L’autorité a toutefois estimé qu’il n’était pas utile de nommer la société, privilégiant une démarche pédagogique plutôt qu’exemplaire sur le plan réputationnel.

Consentement et information, des fondements fragilisés

Le premier manquement concerne l’absence de base légale au sens de l’article 6 du RGPD. La société invoquait le consentement recueilli lors de l’adhésion au programme de fidélité, lorsque les clients acceptaient de recevoir de la prospection par SMS ou par courrier électronique. Pour la CNIL, cet argument ne tient pas.

Le formulaire d’adhésion ne mentionnait pas la transmission des données à un réseau social à des fins de publicité ciblée. Les documents accessibles depuis le site web, notamment la politique de protection des données, étaient soit silencieux sur cette transmission, soit insuffisamment clairs quant à sa finalité. Le parcours d’accès à l’information était jugé complexe, empêchant toute compréhension réelle du traitement. Dans ces conditions, le consentement ne pouvait être ni explicite ni éclairé, contrairement aux exigences du RGPD.

L’autorité a également relevé un manquement aux obligations d’information prévues aux articles 12 et 13 du règlement. Les finalités des traitements n’étaient pas clairement associées à leurs bases légales. Certaines informations manquaient, comme la finalité précise de la publicité ciblée ou la durée de conservation des données. D’autres étaient erronées, notamment les mentions relatives aux transferts internationaux, encore fondées sur le Privacy Shield, pourtant invalidé.

Failles de sécurité et gouvernance défaillante

Au-delà des aspects juridiques, la CNIL a pointé des insuffisances techniques. Les règles de complexité des mots de passe des comptes utilisateurs ont été jugées trop faibles. L’autorité a rappelé que l’utilisation de la fonction de hachage SHA-256 ne garantit pas, à elle seule, un stockage sécurisé des mots de passe, exposant les comptes à des risques accrus en cas de compromission.

Un autre manquement majeur concerne l’absence d’analyse d’impact relative à la protection des données. Aucun AIPD n’avait été réalisée avant la mise en œuvre du ciblage publicitaire. Or, le traitement combinait un volume élevé de données et des opérations de croisement, susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes. Une analyse préalable aurait dû être conduite.

L’AIPD est un outil clé de conformité RGPD, à la fois juridique, organisationnel et technique, indispensable pour sécuriser les traitements de données à risque élevé. Il comprend la description détaillée du traitement et de ses finalités ; Analyse de la nécessité et de la proportionnalité ; Évaluation des risques pour les personnes et des Mesures prévues pour réduire ces risques (sécurité, gouvernance, procédures). Testez notre outil en ligne GRATUIT qui vous explique l’AIPD.

Enfin, la CNIL a relevé des violations des règles encadrant les cookies. Lors de la visite du site, onze cookies soumis à consentement étaient déposés avant tout choix de l’utilisateur. Même en cas de refus explicite, ces traceurs n’étaient ni supprimés ni désactivés, continuant à être lus en violation de la loi Informatique et Libertés.

Cette décision illustre une réalité du renseignement cyber, la conformité juridique, la sécurité technique et la transparence constituent un tout indissociable face aux usages intensifs des données personnelles.

CNIL, Transmission de données à un réseau social à des fins publicitaires, 2026 : https://www.cnil.fr/fr/transmission-de-donnees-un-reseau-social-des-fins-publicitaires-sanction

Cybersécurité, Entreprise, Securite informatique

La sécurité documentaire au cœur de la transformation numérique

La numérisation des processus ne suffit plus : la sécurité devient la condition de survie des organisations face aux risques de fuite et de falsification de données.

La gestion électronique des documents (GED) est désormais un pilier de la transformation numérique. En centralisant, indexant et sécurisant les fichiers sensibles, elle réduit les risques d’erreur humaine et renforce la conformité réglementaire. Mais cette modernisation crée aussi de nouvelles vulnérabilités comme vous l’explique trés souvent Data Security Breach. Cyberattaques, hameçonnage ciblé, détournement d’accès : les menaces évoluent aussi vite que les technologies. Les entreprises doivent donc combiner solutions de GED performantes et stratégie de cybersécurité rigoureuse. Toshiba Tec propose une approche intégrée alliant numérisation, sécurité et respect du RGPD pour garantir l’intégrité des données.

Dématérialisation et cybersécurité, un duo indissociable

La dématérialisation accélère les flux d’information mais multiplie aussi les points d’entrée potentiels pour les cybercriminels. Chaque document numérique, chaque plateforme collaborative, devient une cible. En France, selon l’ANSSI, 44 % des incidents signalés en 2024 concernaient des compromissions d’accès aux données internes. Dans ce contexte, la gestion électronique des documents ne se limite plus à l’archivage. Elle s’impose comme un dispositif stratégique pour assurer la traçabilité, la confidentialité et la disponibilité des informations.

Une GED bien configurée offre une visibilité complète sur le cycle de vie documentaire : création, modification, partage, destruction. Chaque action est enregistrée, chaque utilisateur authentifié. C’est cette granularité du contrôle qui permet de limiter les risques de fuite.

Le renseignement économique face aux menaces internes

Les fuites d’informations sensibles proviennent souvent de l’intérieur. Un employé ou un prestataire négligeant, un poste de travail compromis : autant de vecteurs d’exfiltration de données. Dans le secteur industriel ou public, ces incidents relèvent parfois du renseignement économique.

Les systèmes de GED modernes intègrent désormais des outils d’analyse comportementale. Grâce à l’intelligence artificielle, ils détectent les anomalies d’usage : téléchargement massif, accès inhabituel à un répertoire, modification suspecte de métadonnées. Ces alertes précoces permettent d’intervenir avant la compromission complète du réseau documentaire.

L’intégration de la sécurité à la source, chiffrement, contrôle d’accès, journalisation, renforce la résilience organisationnelle. Toshiba Tec a fait de cette approche une priorité, en développant des solutions capables de sécuriser les échanges documentaires tout en respectant les exigences réglementaires du RGPD.

Vers une gouvernance documentaire souveraine

L’avenir de la dématérialisation passe par une souveraineté numérique accrue. Héberger et traiter les documents dans des infrastructures conformes aux standards européens devient un enjeu stratégique. Les plateformes de GED certifiées, hébergées en France ou dans l’Union européenne, garantissent une meilleure maîtrise des données sensibles.

Les acteurs publics et les entreprises privées convergent vers cette exigence : contrôle total des flux, audit complet et interopérabilité entre services. Le défi n’est plus technique mais organisationnel : créer une culture documentaire où la sécurité est une responsabilité partagée.

Toshiba Tec, à travers son expertise en solutions documentaires et en technologies d’impression sécurisées, accompagne cette transition vers une gouvernance numérique intégrée, alliant performance, conformité et souveraineté.

– Sources
ANSSI, Panorama de la cybermenace 2024 : https://www.ssi.gouv.fr/publication/panorama-de-la-cybermenace-2024/
CNIL, Sécuriser les données et les documents, 2024 : https://www.cnil.fr/fr/securiser-les-donnees