La Commission nationale de l’informatique et des libertés tire une première synthèse sur les violations de données personnelles, quatre mois après l'entrée en application du RGPD

La Commission nationale de l’informatique et des libertés poursuit ses observations sur le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018. Après un point d’étape livrant un panorama général sur la façon dont les particuliers et les professionnels se positionnent face à ce cadre, encore très récent, un autre bilan est proposé, cette fois centré sur les infractions.

Publiée le 15 octobre sur le site de la CNIL, cette synthèse montre que les violations de données personnelles recouvrent en fait trois types de problèmes : les infractions quant à la confidentialité des données (elles sont visibles par des tiers non autorisés), les cas d’indisponibilité (y accéder n’est plus possible) et la compromission de leur intégrité (elles ont été altérées ou effacées).

isabelle-falque-pierrotin-cnil
Isabelle Falque-Pierrotin, la présidente de la CNIL. // Source : Mariano Bordon

Synthèse des infractions

Il s’avère que sur la période observée (du 25 mai au 1er octobre), il y a un très net déséquilibre. La très grande majorité des incidents concerne en effet le premier cas de figure : 695 incidents sur 742 notifications reçues. Les deux autres sont presque au même niveau, 71 alertes pour la disponibilité des données et 50 signalements pour l’intégrité des données.

Ces quelques centaines de notifications peuvent sembler peu nombreuses : en fait, elles ne reflètent pas le nombre de victimes potentielles, car un signalement peut très bien porter sur une base de données regroupant des milliers, des centaines de milliers, voire des millions de comptes personnels. On s’en rend vite compte avec l’estimation de la CNIL sur le nombre de personnes possiblement à risque.

La Commission évoque en effet un contingent de plus de 33,7 millions de personnes (situées en France ou ailleurs). Un nombre à manier avec précaution : il est possible qu’il y ait des doublons dans cette addition : en effet, une même victime peut par malchance être concernée par deux (ou plus) notifications recensées par la CNIL. Or, cela n’en fait pas pour autant deux victimes distinctes (ou plus).

742 notifications reçues, qui concerneraient plus de 33,7 millions de personnes

Quant à la cause de ces infractions, elles sont dans deux cas sur trois (65 %) causées par un acte malveillant interne. Les 35 % restants se partagent entre l’erreur humaine interne — c’est-à-dire au sein de l’organisation gérant les données personnelles compromises –, à 15 %, et par des facteurs non précisés (20 %). Ce sont en général des causes inconnues ou indéterminées par l’organisme victime, ou d’actes internes malveillants.

Les actes malveillants sont principalement produits par des actions de piratage (mises en œuvre par des logiciels malveillants ou des campagnes de hameçonnage, principalement). Celles-ci couvrent plus de la moitié des cas de figure. D’autres causes expliquant ces violations sont données : cela va de la perte ou le vol d’un équipement à la publication involontaire d’informations, en passant par l’envoi de données au mauvais destinataire.

Partager sur les réseaux sociaux