CYBUn peu plus de quatre mois après la mise en place du règlement général sur la protection des données (RGPD) en Europe, la Commission nationale informatique et des libertés (Cnil) a dressé un premier bilan. Elle pointe en premier lieu des atteintes à la confidentialité. Les piratages représentent ainsi plus de la moitié des violations.
La Commission nationale de l’informatique et des libertés (CNIL) a publié sur son site Internet un premier bilan concernant l’application du Règlement général sur la protection des données (RGPD), quatre mois après son entrée en vigueur.
Le RGPD contraint les entreprises à notifier sous 72 heures toute violation des données qu’elles détiennent, si cette violation entraîne un risque pour les droits et libertés des personnes concernées. Ainsi, entre le 25 mai et le 1er octobre, le gendarme français des fichiers informatiques a reçu 742 notifications de violations qui concerneraient les données de près de 33,7 millions de personnes « situées en France ou ailleurs ».
La confidentialité en première ligne
Ces violations sont de trois types : les atteintes à la confidentialité des données (alors visibles par un tiers non autorisé), des atteintes à leur disponibilité et enfin des atteintes à leur intégrité (données corrompues). La très grande majorité des cas étudiés par la Cnil concerne la première catégorie avec 695 des 742 incidents.
Les deux autres cas de figure sont faiblement représentés : 71 alertes ont concerné la disponibilité des données et 50 signalements, l’intégrité des données.
Les piratages représentent plus de la moitié des violations
La majorité (65%) de ces violations s’explique par un acte externe malveillant et 15% par des erreurs humaines internes à l’entreprise. Dans 20% des cas, la structure qui s’adresse à la Cnil est incapable d’en déterminer la cause.
Sans surprise, « plus de la moitié des violations notifiées trouvent leur origine dans du piratage, des logiciels malveillants ou de l’hameçonnage », indique la commission. Ce type d’incidents fait l’objet de 421 notifications, loin devant des données envoyées à un mauvais destinataire (62 notifications), un équipement perdu ou volé (47 notifications) ou une publication involontaire d’informations (43 notifications).
Des sanctions lourdes
La Cnil souligne que les secteurs de l’hébergement et la restauration sont « surreprésentés » avec 185 notifications de violations (25% du total). La raison ? Un prestataire de service fournissant des outils de réservation a été victime d’une violation de données, précise l’autorité administrative, entraînant une notification pour chacun de ses clients.
Viennent ensuite les secteurs des sciences techniques, des commerces auto-moto, de l’information-communication, de la finance et des assurances. Si les entreprises ne communiquent pas ces violations à la Cnil, l’autorité administrative peut infliger une sanction allant jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires.
