Rapport CNPD 2025 : 846 réclamations (+40 %), l'essentiel à retenir au Luxembourg
Rapport annuel CNPD 2025 : 846 réclamations (+40 % en un an), 425 notifications de violations (dont 49 % d'erreur humaine), 59 enquêtes, 16 avis. Le virage vers une régulation fondée sur les risques, l'IA en priorité, et 5 actions concrètes pour DPO et CISO au Luxembourg.
La CNPD a présenté son rapport annuel 2025 le 10 juillet 2026. Pour les DPO, CISO et dirigeants luxembourgeois, ce n'est pas un document de plus : c'est le baromètre le plus fiable de ce que l'autorité surveille réellement sur la Place, et donc de ce qui doit figurer sur votre feuille de route 2026. Voici l'essentiel à retenir, notre lecture des signaux, et ce que nous conseillons concrètement.
Les chiffres à retenir
- 846 réclamations reçues en 2025, soit +40 % en un an. C'est le chiffre marquant du rapport.
- 1 909 dossiers de réclamation traités au total sur l'année (le stock, pas seulement les nouvelles entrées).
- 425 notifications de violations de données traitées — et surtout, 49 % des violations résultent d'une erreur humaine.
- 59 dossiers d'enquête menés et 16 avis adoptés sur des projets de loi et de règlement.
- 623 demandes de renseignement traitées et 36 formations organisées : l'autorité mise autant sur l'accompagnement que sur le contrôle.
Répartition des réclamations : droit d'accès 25 %, droit à l'effacement 22 %, conformité des traitements 21 %. Les personnes connaissent leurs droits et les exercent de plus en plus.
+40 % de réclamations : ce que ça dit vraiment
Une hausse de 40 % en un an ne traduit pas une dégradation soudaine des pratiques : elle traduit une montée en maturité des personnes concernées. Salariés, clients, patients, usagers savent désormais qu'ils peuvent demander l'accès à leurs données, leur effacement, et saisir la CNPD si l'organisation ne répond pas — ou répond mal.
La conséquence opérationnelle est directe : les demandes d'exercice de droits (accès et effacement représentent à eux seuls ~47 % des réclamations) deviennent un flux à industrialiser. Une organisation qui n'a pas de procédure claire — délai d'un mois, vérification d'identité, périmètre de la réponse, journalisation — se retrouve mécaniquement dans les statistiques de réclamation. C'est le premier chantier « anti-plainte » à sécuriser.
49 % des violations = erreur humaine : le message pour les CISO
Là où la CNIL française pointe qu'une violation sur deux résulte d'un piratage, la CNPD rappelle qu'au Luxembourg, près d'une violation sur deux vient d'une erreur humaine : envoi au mauvais destinataire, divulgation non autorisée, mauvaise manipulation. Le facteur technique (cyberattaque) est présent, mais l'erreur interne reste dominante.
Traduction pour votre plan 2026 : les mesures les plus rentables ne sont pas seulement l'EDR et le MFA, ce sont aussi les garde-fous du quotidien — DLP sur la messagerie, confirmation destinataire externe, cloisonnement des accès (principe du moindre privilège), et surtout des équipes sensibilisées. Une culture « pause avant d'envoyer » évite une bonne part des 425 notifications de l'année.
Le vrai virage : une régulation fondée sur les risques
Le signal éditorial le plus important du rapport n'est pas un chiffre, c'est une méthode : la CNPD assume une approche fondée sur les risques. L'autorité concentre ses moyens là où le risque pour les personnes est le plus élevé, et attend des organisations la même logique.
Concrètement, cela veut dire qu'un registre des traitements à jour, des analyses d'impact (AIPD) proportionnées sur les traitements sensibles, et une hiérarchisation documentée de vos risques ne sont plus de la paperasse « au cas où » : c'est exactement la grille de lecture que l'autorité applique. En cas de contrôle, montrer que vous avez identifié, priorisé et traité vos risques pèse davantage qu'une conformité formelle exhaustive mais désincarnée.
L'IA au cœur des priorités
Sur les 16 avis rendus en 2025, l'intelligence artificielle occupe une place centrale, aux côtés du Data Governance Act (nouvelles missions confiées à la CNPD) et des communications électroniques. L'autorité se positionne comme un acteur clé de la gouvernance de l'IA au Luxembourg, dans le sillage de l'AI Act (règlement UE 2024/1689).
Pour toute organisation qui a déployé Claude, ChatGPT ou Copilot sans inventaire, sans classification de risque AI Act et sans charte d'usage : le sujet est désormais sur la table de l'autorité. Notre page IA & conformité détaille la marche à suivre — inventaire, classification par l'annexe III, gouvernance interne.
Les nouveautés 2025 à connaître
- Premier code de conduite RGPD sectoriel approuvé au Luxembourg : un cadre de référence pour un secteur, gage de conformité mutualisée.
- Culture numérique et projet Leonora : la CNPD renforce la sensibilisation, notamment auprès de la jeunesse. Le message : la protection des données se joue aussi en amont, par l'éducation.
La présidente Tine A. Larsen et le commissaire Alain Herrmann ont porté un même message : la protection des données est devenue un enjeu du quotidien et un levier de confiance — donc un facteur d'innovation, pas un frein. C'est aussi notre conviction depuis 2018.
Ce qu'on conseille aux organisations luxembourgeoises pour 2026
- Blinder la chaîne « exercice des droits ». Procédure d'accès et d'effacement écrite, délai d'un mois tenu, vérification d'identité, réponse tracée. C'est le premier poste de réclamation.
- Réduire l'erreur humaine, pas seulement le piratage. DLP messagerie, confirmation destinataire externe, moindre privilège, et sensibilisation régulière des équipes.
- Passer en logique « risques ». Registre à jour, AIPD proportionnées, cartographie des risques priorisée — la grille exacte de l'autorité. Un DPO externe outillé accélère ce chantier.
- Inventorier l'IA et cadrer l'AI Act. Lister les systèmes d'IA (y compris shadow IT), classer par risque, formaliser une charte d'usage. Voir IA & conformité.
- Tester la chaîne d'alerte violation 72 h. Simuler un scénario réel (envoi accidentel, ransomware, vol de portable) et chronométrer jusqu'au formulaire CNPD pré-rempli. Les défauts ressortent en une heure.
DPO et CISO : le même combat
Le rapport confirme une tendance de fond que nous observons sur nos mandats : la frontière entre protection des données et cybersécurité s'efface. Notifier une violation à la CNPD sous 72 h, c'est souvent aussi qualifier un incident au titre de NIS 2. Les deux fonctions doivent partager les mêmes registres, les mêmes plans d'action et les mêmes scénarios d'incident testés. C'est la logique de notre plateforme DPO Assist (tickets RGPD, violations 72 h, qualification de gravité, suivi des sous-traitants).
À lire aussi, pour comparer avec le voisin français : notre décryptage du rapport CNIL 2025 (487 M€ d'amendes, une violation sur deux = piratage).
En résumé
Le rapport CNPD 2025 dessine une trajectoire nette : des personnes qui exercent leurs droits (+40 % de réclamations), une erreur humaine toujours dominante dans les violations, une autorité qui régule par les risques et qui fait de l'IA une priorité. Rien de tout cela n'est hors de portée : registre à jour, procédures d'exercice des droits, sensibilisation, AIPD proportionnées et chaîne d'alerte testée couvrent l'essentiel.
Envie d'en discuter sur votre cas concret ? Notre équipe DPO externe et CISO externe travaille ces sujets ensemble depuis 2018. Contactez-nous ou demandez un devis personnalisé sous 24 heures.
Sources officielles
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →