В своем ежегодном отчете французский орган по защите данных, CNIL, зафиксировал рекордное количество утечек данных в 2025 году: было подано 6167 уведомлений, что на 9,5% больше, чем за предыдущий год. В ответ на это CNIL обещает усилить проверки в области кибербезопасности.
Множество недавних инцидентов уже предвещали это, но CNIL подтверждает в своем годовом отчете: в 2025 году было зарегистрировано 6167 нарушений, что означает рост на 9,5% по сравнению с 2024 годом. За 2024 год регулятор сообщал о 5629 уведомлениях о нарушениях персональных данных.
Еще в марте глава ANSSI (Национального агентства по безопасности информационных систем) отмечал "очень значительные уровни угроз", однако добавлял, что "в 2025 году мы не наблюдаем взрыва или цунами".
Еще один рекордный год
«2024 год установил рекорд, который, к сожалению, был превзойден в 2025 году почти на 10% дополнительных уведомлений», — заявил орган по защите данных в своем отчете, опубликованном в понедельник, 18 мая. Он выделяет три основные тенденции в этих сообщениях о нарушениях.
Как и в предыдущие годы, «взломы остаются наиболее часто заявляемым типом инцидентов». CNIL упоминает кражу данных из легитимных учетных записей пользователей, использование программ-вымогателей, фишинг и подстановку учетных данных (использование украденных баз данных логинов/паролей для проверки их применения на других ресурсах). На взломы пришлось 50% всех уведомлений в 2025 году. Однако утечки могут происходить и без злого умысла: 13% уведомлений касаются отправки персональных данных неверному адресату, 7% — кражи или потери оборудования и данных, и еще 7% — непреднамеренной публикации информации.
Второй тенденцией, отмеченной CNIL в отчете, является целенаправленный характер некоторых атак. Не называя конкретное решение, регулятор поясняет, что «2025 год, в частности, ознаменовался серией краж данных, нацеленных на клиентов компаний-разработчиков CRM-решений». Кроме того, была отмечена серия атак на французские спортивные федерации.
- Теннис, спелеология: новые утечки данных в спортивных федерациях
Наконец, отмечается увеличение числа нарушений, затрагивающих более миллиона человек: «их было около сорока в 2025 году (по сравнению с примерно тридцатью в 2024 году)». Согласно отчету CNIL, сектор государственного управления выделяется, составляя 19% всех зарегистрированных нарушений. В качестве примера можно привести утечку данных, затронувшую 1,6 миллиона учетных записей в декабре 2025 года, а также инцидент 2024 года, когда агентство пострадало от утечки данных почти 37 миллионов французов, за что было оштрафовано на 5 миллионов евро.
В 2026 году CNIL направит 50% своих проверок и принудительных мер на нарушения в сфере кибербезопасности
Как заявила председатель CNIL Мари-Лор Дени, одним из последствий утечек данных, собранных государственным управлением, является «подрыв доверия между государством и гражданами, поскольку государство несет особую ответственность за данные французов».
В ответ на рост числа уведомлений регулятор объявляет об усилении проверок безопасности данных в текущем году. «CNIL выделит 50% своих проверок и принудительных мер на нарушения в области кибербезопасности», — говорится в ее заявлении. Председатель CNIL уточнила, что в 2025 году этот показатель составлял «от одной четверти до одной трети».
В отчете также указано, что после публикации в марте 2025 года рекомендации по многофакторной аутентификации [PDF] и активного призыва к организациям, управляющим крупными базами данных, внедрить ее, а также предоставления им времени на адаптацию, «проверки будут проводиться в течение всего 2026 года».
Механические бюджетные последствия
Однако эти усилия по контролю за безопасностью данных неизбежно повлияют на другие задачи регулятора. В своем отчете CNIL снова подчеркивает, что действует «в условиях ограниченного бюджета». Кроме того, отмечается, что «в 2026 году CNIL не получила ни одного нового штатного места, несмотря на возросшую нагрузку по историческим задачам и необходимость освоения новых компетенций, связанных с несколькими европейскими регламентами, в частности в области искусственного интеллекта».
Напомним, что сумма штрафов не поступает непосредственно регулятору, а перечисляется в общий бюджет государства. Недавно правительство Франции рассматривало идею направить эти средства в новый фонд, предназначенный для модернизации цифровой инфраструктуры, следуя принципу «загрязнитель платит».
Что касается других вопросов, CNIL также отмечает общий рост числа полученных жалоб. Так, «рекорд был установлен в 2024 году с 17 772 жалобами, полученными CNIL, что на более чем 8% больше, чем в предыдущем году», но этот рекорд был побит в 2025 году с ростом «более чем на 10%», достигнув общего числа 20 150 жалоб.
В своем отчете CNIL подчеркивает, что она вмешивалась «в работу многих организаций, чтобы напомнить им о применимых правилах, касающихся использования систем дистанционного наблюдения за экзаменами и видеонаблюдения».
Например, регулятор приводит случай «жалоб, касающихся проекта, рассматриваемого одним из университетов [не названным в отчете], по проведению видео- и аудиозаписи студентов во время дистанционных экзаменов». В конечном итоге, председатель CNIL «направила предупреждение университету, призывая его «пересмотреть свой проект» до его фактического внедрения, в частности, в отношении необходимости проведения оценки воздействия, рисков системы и обязанности предоставлять точную информацию затронутым лицам». Она также упоминает, что напомнила «нескольким муниципалитетам о том, что системы видеонаблюдения должны быть реализованы в соответствии с Кодексом внутренней безопасности (CSI) и GDPR».
В своем отчете CNIL также напоминает, что «FICOBA (Национальный файл банковских счетов) больше не подпадает под косвенное осуществление прав, управляемое CNIL» — механизм, который позволяет «получать доступ к информации о вас, хранящейся в определенных публичных файлах». Файл банковских счетов, «в частности используемый администрацией в случае налоговых проверок, теперь доступен напрямую», поясняет регулятор, «процедура теперь может быть выполнена через сайт www.impots.gouv.fr. Это изменение позволяет перераспределить ресурсы для запросов, касающихся других файлов». Действительно, CNIL поясняет, что в 2025 году она закрыла 32 262 дела по косвенному осуществлению прав, «из которых 27 492 касались запросов на доступ к Национальному файлу банковских счетов и аналогичным (FICOBA), который находился в ведении CNIL до 6 января 2025 года».
В своем отчете регулятор также напоминает о ранее озвученных в начале года данных о штрафах на общую сумму 487 миллионов евро, наложенных в 2025 году, при этом штрафы против Google и Shein составили 475 миллионов евро.