Le 16 octobre 2018, la Commission nationale de l’informatique et des libertés (Cnil) a présenté, quatre mois après lentrée en application du règlement général sur la protection des données (RGPD), le premier bilan chiffré.
La Cnil rappelle tout dabord que depuis lentrée en application du RGPD, les violations de données personnelles doivent, dans certains cas, lui être notifiées. Cette nouvelle obligation nécessite que les organismes mettent en place des procédures permettant de détecter puis de remonter les incidents de sécurité. Ainsi, la Cnil a reçu 742 notifications de violations (entre le 25 mai et le 1er octobre 2018) qui concerneraient les données de 33.727.384 personnes situées en France ou ailleurs.
Concernant les secteurs doù viennent majoritairement les notifications, le secteur de lhébergement et de la restauration est surreprésenté avec 185 notifications de violations. Plus de la moitié des violations notifiées trouvent leur origine dans du piratage, des logiciels malveillants ou de lhameçonnage, puis viennent les équipements perdus ou volés, les envois indus et les publications non volontaires. La majorité des violations trouve sa cause dans un acte externe malveillant ou dans des actes internes accidentels. Dans les autres cas (20 %), il sagit le plus souvent de causes inconnues ou non déterminées par lorganisme qui notifie ou dactes internes malveillants.
La Cnil ajoute que tout organisme victime dune violation de données doit la notifier dans les 72h sous peine de subir une amende de 10 millions deuros ou 2 % du chiffre daffaires. En revanche, elle privilégie laccompagnement lors de la réception des notifications dans les délais impartis, une approche qui a pour but daider les professionnels concernés à prendre toutes les mesures pour limiter les conséquences dune violation.