Cybersécurité : les collectivités sous surveillance de la Cnil en 2025

La cybersécurité fait partie des axes majeurs du plan stratégique de la Commission nationale informatique et libertés (Cnil). Dans cette optique, en 2025, la Cnil a particulièrement surveillé la cybersécurité des collectivités territoriales. En effet, celles-ci sont de plus en plus la cible de piratage, alors qu’elles traitent de nombreuses données sensibles (état civil, versement de prestations sociales, données financières…) qu’il convient de protéger de toute intrusion.

Les priorités de contrôle et le bilan des investigations de la Cnil

Dans son rapport annuel 2025, présenté le 19 mai 2026, la Cnil précise que trois autres thématiques ont fait l’objet d’une surveillance prioritaire l’an dernier : la collecte de données par les applications mobiles, les données traitées par l’administration pénitentiaire et le droit à l’effacement. Au total, ces investigations ont représenté environ 30 % des contrôles de l’année ; elles s’ajoutent aux contrôles consécutifs à des plaintes ou à des signalements, ou à ceux liés à l’actualité.

Ainsi, dix-sept missions de contrôle ont été réalisées auprès de quinze organismes : communes, départements, régions et sous-traitants. Elles ont montré que les collectivités et les sous-traitants, à qui elles confient le traitement de leurs données, sont responsables de manquements récurrents relatifs à la sécurité des données. La Cnil cite notamment l’utilisation de serveurs s’appuyant sur des systèmes d’exploitation obsolètes, l’absence d’homologation au référentiel général de sécurité (RGS), l’utilisation de certificats de sécurité non qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ou encore le maintien d’une diversité de logiciels et téléservices autonomes qui rend difficile la gestion des habilitations et des mots de passe. Ces négligences sont indépendantes de la taille de la collectivité.

Attention à la sous-traitance

Le rapport rappelle quelques mesures pour les grandes bases de données : sécuriser les accès externes au système d’information par une authentification multifacteur ; journaliser, analyser et fixer des limites sur les flux de données qui transitent sur le système d’information ; organiser des sensibilisations régulières adaptées aux profils d’utilisateurs et encadrer la sécurité des données avec les sous-traitants. Le RGPD impose aux sous-traitants de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat, traiter les données uniquement sur instruction du responsable de traitement et supprimer les données une fois terminée leur relation contractuelle avec le responsable de traitement. En l’absence de mesures de sécurité adéquates, l’amende peut aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel.

En 2025, la Cnil a rappelé à plusieurs communes que la vidéoprotection doit être mise en œuvre conformément au Code de la sécurité intérieure (CSI) et au RGPD. En outre, elle a souligné que si le nombre de caméras est trop important par rapport au nombre d’habitants et à la superficie de la commune, avec une exploitation à grande échelle des données personnelles, « le dispositif constitue un risque élevé d’atteinte aux droits fondamentaux nécessitant la réalisation d’une analyse d’impact ».

La Cnil rapporte aussi une décision du Conseil d’État du 30 janvier 2026, rejetant un recours de la ville de Nice qui contestait une délibération de la Cnil du 15 mai 2025. La commune avait installé un dispositif de traitement algorithmique des images des caméras de vidéosurveillance à l’entrée des écoles pour détecter les véhicules en stationnement irrégulier. La Cnil estimait ce dispositif illégal. Dans sa décision, le Conseil d’État rappelle que si le Code de la sécurité intérieure autorise les systèmes de vidéosurveillance des voies publiques, il ne permet pas une analyse systématique et automatisée des images collectées. La Cnil n’a donc pas commis d’erreur de droit.

Marie Gasnier