La Cnil somme les collectivités de respecter les règles de base de l'hygiène informatique

L'administration publique arrive en tête des secteurs victimes de violations de données personnelles : elle concentre 19% des 6.167 notifications reçues par la Cnil en 2025, soit une hausse de 9,5% par rapport à 2024. La Cnil en compte même 17.802 si elle intègre les violations liées à deux entités intervenant dans le secteur de la santé et du patrimoine. Dans son rapport annuel publié le lundi 18 mai 2026, en parallèle, la Cnil dénombre 20.158 plaintes, avec de plus en plus souvent un lien avec ces violations de données. Cette vague n'est pas due au hasard. Comme l'a expliqué CyberMalveillance (voir notre article du 31 mars 2026) : elle est liée au développement du marché de la revente de données personnelles et à la facilité qu'il y a de mener ce type de cyberattaque du fait de systèmes d'information mal protégés.

Des failles élémentaires

Le mode opératoire des attaquants est en effet invariable : dans près de 80% des violations de grande ampleur constatées en 2024 et 2025, une intrusion a été rendue possible par l'usurpation d'un compte protégé par un simple mot de passe. Une part significative des incidents implique en outre un sous-traitant à la sécurité défaillante.

Les dix-sept missions de contrôle menées en 2025 auprès de quinze organismes – communes, départements, régions et leurs sous-traitants – ont livré un diagnostic sans appel. Les manquements sont récurrents et, pour l'essentiel, évitables : serveurs fonctionnant sous des systèmes d'exploitation obsolètes, absence d'homologation au référentiel général de sécurité (RGS), certificats de sécurité non qualifiés par l'Anssi, multiplicité de logiciels et téléservices autonomes rendant la gestion des habilitations ingérable. En outre, ces manquements ne sont pas corrélés à la taille de la collectivité.

Poursuite des contrôles en 2026

Face à ce constat, la Cnil a rappelé au printemps 2025 ses exigences fondamentales : déploiement de l'authentification multifacteur (MFA) pour les accès distants. Un document qui précise les solutions techniques à privilégier et les modalités de conservation des données. Il est notamment recommandé de journaliser les accès, de sensibiliser régulièrement les agents et d'encadrer les sous-traitants. La Cnil met en garde : après un temps d'adaptation accordé aux acteurs, les contrôles se poursuivront tout au long de 2026. Certains pourraient déboucher sur des sanctions, près de 30% des 83 sanctions prononcées par la Cnil en 2025 étant liées à un défaut de cybersécurité.

Les caméras augmentées en ligne de mire

Une fois de plus la vidéoprotection est en bonne place dans ce rapport 2025 et plusieurs communes ont fait l'objet de rappels à la réglementation. La Commission rappelle qu'un dispositif comportant un nombre élevé de caméras rapporté à la population et à la superficie constitue un risque élevé, rendant l'étude d'impact obligatoire. En 2025, la Commission a aussi décliné ses recommandations par catégorie de dispositif : caméras-piétons, drones, solutions embarquées, vidéosurveillance en établissement scolaire et Lapi (lecture automatisée de plaques d'immatriculation), en plein développement dans les communes. La Cnil rappelle aussi les restrictions sur l'usage des caméras augmentées, confirmées le 30 janvier 2026 (voir notre article du même jour) par le Conseil d'État. La haute juridiction a validé sa décision sur la commune de Nice, qui avait déployé un traitement algorithmique en temps réel à l'entrée des écoles pour détecter les stationnements suspects. Il a été confirmé que, pour cette finalité, le code de la sécurité intérieure n'autorisait pas une analyse systématique et automatisée des images collectées.

Articulation entre la Cnil et l'Anssi

La Cnil souligne enfin que la directive NIS 2, toujours en attente de texte de loi, va devoir être articulée avec le RGPD. La Commission souhaite une clarification des rôles entre l'Anssi, qui a la main sur le contrôle des obligations des entités soumises à la directive, et la Cnil, compétente sur le champ du RGPD. Il s'agit notamment de mieux définir qui fait quoi en cas d'incident de sécurité. Cette coordination devra par ailleurs s'étendre à la supervision des portefeuilles européens d'identité numérique (EUDI wallets), appelés à se déployer dès 2026.

Enfin, en 2026, on devrait avoir les suites contentieuses de la Cnil liées aux municipales. Les candidats étaient notamment soumis aux nouvelles règles en matière de prospection politique, avec une interdiction formelle du ciblage (voir notre article du 23 octobre 2025). Lors des municipales de 2020, la Cnil avait reçu 3.948 signalements, portant principalement sur des SMS et des appels téléphoniques non conformes.