Au total, la CNIL a enregistré 17 483 notifications de violations de données entre mai 2018 et mai 2023. Ce nombre reflète une tendance à la hausse des incidents signalés. Deux explications à ce phénomène sont envisageables : ou bien le RGPD est de mieux en mieux pris en compte par les acteurs (et donc les failles sont plus faciles à détecter), ou bien les menaces sur les données personnelles se sont multipliées. En l’état actuel des choses, il est difficile de privilégier l’une ou l’autre de ces deux options.
Secteurs public et privé inégalement visés et par des méthodes différentes
Le secteur privé est à l'origine de la majorité des notifications de violation, représentant environ deux tiers des déclarations à la CNIL, dont 39 % émanent de petites et moyennes entreprises (PME). En comparaison, le secteur public représente 22 % des notifications, avec une prédominance notable des administrations publiques.
Une analyse sectorielle plus approfondie met en lumière les domaines les plus touchés par ces violations. C’est notamment le cas des activités spécialisées, scientifiques et techniques, ainsi que des secteurs de la santé. La manipulation fréquente de données personnelles dans ces différents domaines les expose en effet davantage.
En termes d’attaques, les deux principales sources de préoccupations sont les « rançongiciels » (logiciel malveillant conçu pour chiffrer les données d'un utilisateur et demander une rançon en échange de la clé de déchiffrement) et le hameçonnage (technique d'attaque informatique utilisée pour inciter les utilisateurs à divulguer des informations confidentielles en se faisant passer pour une entité légitime). Le secteur public est particulièrement vulnérable aux attaques par hameçonnage, tandis que le secteur privé est plus souvent confronté aux rançongiciels.
Les délais de déclaration d’une violation de données
Bien que la moitié des incidents soient rapportés dans les 72 heures prescrites par le RGPD, la méconnaissance des obligations de notification ou la nécessité d'obtenir des informations plus complètes sur l'incident rendent les retards fréquents. Si les motifs de ces retards peuvent a priori sembler légitimes, la CNIL précise que selon elle, « il est préférable de notifier la violation dans le délai de 72 h quitte à ne fournir que des éléments partiels, qui pourront être complétés par la suite voire même supprimés, dans le cas où la violation ne serait pas avérée. »
Par ailleurs, la CNIL rappelle que « sans motif légitime, le non-respect de l’obligation de notification dans les 72 h constitue un manquement au RGPD, qui peut être sanctionné par la CNIL. Un tel manquement est passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires. »
La CNIL insiste sur l'importance de prévenir ces incidents en intégrant la sécurité dès les premières étapes des projets, en mettant en place des mesures minimales de sécurité des données et en sensibilisant régulièrement le personnel aux enjeux de la cybersécurité.
Lien vers la publication de la CNIL : https://urlz.fr/q9sV