Depuis l'entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 les violations de données sont chaque année passées au crible par la CNIL. L'organisme vient justement de publier un dernier bilan portant sur les 5 dernières années (de mai 2018 à mai 2023) riche en enseignements. Sur cette période, la Commission nationale de l'informatique et des libertés a reçu 17 483 notifications de violation de données. « En regroupant les notifications liées à une même origine, il apparaît que le nombre de violations de données notifiées à la CNIL est croissant au fil des années », indique l'organisme.
Concernant l'origine des violations de données, plus de la moitié (55 %) sont issues d'un piratage (ransomware, phishing...) et 20 % viennent d'erreurs humaines internes. « Dans les autres cas, il s’agit le plus souvent de causes inconnues ou non déterminées par l’organisme qui notifie ou d’actes internes malveillants », précise la CNIL. Pour prévenir les incidents débouchant sur des violations de données personnelles, la Commission avance plusieurs conseils : penser la sécurité dès le lancement d’un projet, prendre systématiquement des mesures minimales pour la sécurité des données, effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données, et informer régulièrement le personnel sur les risques et enjeux de la cybersécurité.
Le secteur public en tête du nombre de déclarations de violations de données
A elles seules, les administrations publiques concentrent le plus grand nombre de déclarations de violations de données (18,1 %), devant les activités spécialisées, scientifiques et techniques (14,6 %), la santé humaine et l'action sociale (11,8 %), les activités financières et d'assurance (10,9 %), le commerce, la réparation d'automobiles et de motocycles (9 %), l'information et communication (7,2 %), l'industrie manufacturière (4,5 %), les autres activités de service à niveau égal avec celles de services administratifs et de soutien (4,3 %), et l'enseignement (3,6 %). « Le secteur privé est à l'origine d’environ deux tiers des déclarations de violations à la CNIL dont 39 % de PME. Le secteur public représente quant à lui 22 % des notifications », fait savoir l'organisme.
En termes d'origine géographique, la répartition des notifications de violations de données n'est pas homogène explique la CNIL, les trois régions principales étant l'Ile-de-France, les Haust-de-France et Auvergne Rhône-Alpes. « Cette répartition géographique correspond à la densité économique du territoire, en particulier la densité des sièges sociaux », précise la Commission. Enfin concernant le temps de constatation d'une violation de données, une organisation met en moyenne 113 jours avant de la constater : un temps très long mais à mettre en parallèle avec le fait que la moitié des violations sont en fait constatées en moins de 10 heures. « Il est préférable de notifier la violation auprès dans le délai de 72 h quitte à ne fournir que des éléments partiels, qui pourront être complétés par la suite voire même supprimés, dans le cas où la violation ne serait pas avérée. Sans motif légitime, le non-respect de l’obligation de notification dans les 72 h constitue un manquement au RGPD, qui peut être sanctionné par la CNIL. Un tel manquement est passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires », prévient la Commission.
Commentaire