La sécurité des traitements de données au cœur des obligations des responsables de traitement – Décisions CNIL des 22 décembre 2025 et 13 janvier 2026.
Des sanctions CNIL majeures en matière de sécurité des données
Par deux décisions rendues les 22 décembre 2025 et 13 janvier 2026, la CNIL a prononcé des sanctions d’un montant cumulé particulièrement élevé à l’encontre de plusieurs responsables de traitement pour manquement à leurs obligations en matière de sécurité des données personnelles.
Ces décisions rappellent que la sécurité des traitements constitue une exigence centrale du RGPD et que des défaillances structurelles ou anticipables peuvent conduire à des sanctions de plusieurs dizaines de millions d’euros.
L’article 32 du RGPD : une obligation de sécurité fondée sur le risque
L’article 32 du RGPD impose au responsable du traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles appropriées, afin de garantir un niveau de sécurité adapté au risque.
Cette obligation implique notamment :
- une analyse préalable des risques pesant sur les données ;
- la mise en place de mesures de sécurité effectives et actualisées ;
- une capacité de prévention, et non une simple réaction a posteriori.
La CNIL rappelle que la conformité ne peut être appréciée uniquement à la lumière des mesures prises après la survenance d’une violation de données.
Deux décisions, un même constat
Sanction du 22 décembre 2025 (SAN-2025-015) – NEXPUBLICA FRANCE
La CNIL a infligé une amende de 1,7 million d’euros à cet éditeur de logiciel pour manquement à l’obligation de sécurité des traitements.
Les griefs retenus portent notamment sur :
- l’existence de vulnérabilités critiques connues ;
- des mesures techniques insuffisantes au regard des risques identifiés ;
- la mise en conformité intervenue uniquement après une violation de données, révélant une approche réactive et non préventive de la sécurité.
Sanctions du 13 janvier 2026 (SAN-2026-001 et SAN-2026-002) – FREE MOBILE et FREE
Par deux décisions distinctes, la CNIL a prononcé des sanctions d’un montant total de 42 millions d’euros (27 millions et 15 millions d’euros).
Ces sanctions font suite à une violation massive de données ayant concerné près de 24 millions d’abonnés, avec exposition de données sensibles, notamment des IBAN.
Les manquements retenus portent notamment sur :
- l’insuffisance des mesures de sécurité mises en œuvre (article 32 du RGPD) ;
- une information incomplète des personnes concernées par la violation de données (article 34 du RGPD).
Sécurité des données et information des personnes
Outre l’obligation de sécurisation des traitements, la CNIL rappelle l’importance du respect de l’article 34 du RGPD, qui impose une information claire, complète et transparente des personnes concernées en cas de violation de données susceptible d’engendrer un risque élevé pour leurs droits et libertés.
Une communication partielle ou tardive constitue un manquement autonome, susceptible de justifier une sanction distincte.
Enseignements pratiques pour les responsables de traitement
Ces décisions mettent en lumière plusieurs enseignements :
- la sécurité des données n’est ni optionnelle ni accessoire ;
- les mesures doivent être proportionnées aux risques, régulièrement mises à jour et documentées ;
- corriger les failles après une attaque ne permet pas d’effacer les manquements antérieurs ;
- la gouvernance de la sécurité (pilotage, documentation, procédures) est un élément clé de la conformité RGPD.
Conclusion : la sécurité des données, un enjeu stratégique de conformité RGPD
Par ces sanctions, la CNIL adresse un message aux responsables de traitement : la sécurité des données personnelles constitue un pilier fondamental du RGPD, dont la méconnaissance peut entraîner des conséquences financières et réputationnelles majeures.
La conformité RGPD suppose une approche anticipée, structurée et continue de la sécurité des systèmes d’information, intégrée à la stratégie globale de l’entreprise.
Lien vers la décision SAN-2025-015 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053151799
Lien vers la décision SAN-2026-001 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053352664
Lien vers la décision SAN-2026-002 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000053352643
Besoin d’accompagnement en matière de conformité RGPD ?
Vous êtes responsable de traitement et vous souhaitez renforcer la sécurité de vos traitements de données personnelles ?