En cinq ans, la Commission nationale de l'informatique et des libertés (CNIL) a reçu 17 483 notifications concernant des violations de données personnelles, pas toujours simples à interpréter.
Depuis le 25 mai 2018, il est obligatoire d'informer la CNIL toute violation de données personnelles susceptibles d’engendrer un risque. Le RGPD impose en effet aux entités victimes d’une violation de prendre des mesures d’atténuation, comme informer les personnes concernées, les conseiller, et notifier l’autorité compétente, en l’occurrence, la CNIL.
En cinq ans, le gendarme des données personnelles a reçu 17 483 notifications, avec un pic de 5037 enregistré en 2021. Globalement, depuis cinq ans, le nombre de violations a crû de manière significative. « Ce volume ne reflète pas le nombre réel d’incidents puisqu’un même événement, tel qu’un piratage, peut donner lieu à de multiples notifications », indique toutefois la CNIL. Cela correspond généralement aux cas de prestataires touchés ayant notifié leurs clients qui eux-mêmes ont informé l’autorité. En regroupant les signalements d’une même origine, la CNIL a bien remarqué une augmentation des violations. Cette hausse pourrait néanmoins être attribuée à une meilleure prise en compte du RGPD par les acteurs impliqués.
Les deux tiers des signalements issus du privé
Au total, les deux tiers des notifications ont été émises par des entités issues du privé, dont 39 % de PME. Contrairement à ce qui était attendu, le secteur public, souvent au centre de fuites de données très médiatisées, ne représente « que » 22 % des notifications. Les activités de santé sont quant à elles à l’origine de 12 % d'entre elles. La CNIL précise que les secteurs les plus représentés ne sont pas forcément ceux qui subissent le plus d’incidents ou protègent moins bien leurs données. « La montée en puissance de la détection et du traitement engendre, dans les faits, une hausse de cette partie visible de l’iceberg. »
Pour ce qui est des origines des violations, plus de la moitié sont le fruit d’un piratage, le rançongiciel étant en tête, suivi du phishing, des publications involontaires, des équipements perdus ou volés ou de causes inconnues…