Dans un communiqué du 16 octobre 2018, la Commission nationale de l’informatique et des libertés (CNIL) dresse un premier bilan chiffré quatre mois après l’entrée du règlement européen sur la protection des données (application du RGPD).
La CNIL a reçu 742 notifications de violations (entre le 25 mai et le 1eroctobre) qui concerneraient les données de 33 727 384 personnes situées en France ou ailleurs.
Ces violations concernent :
- des atteintes à la confidentialité des données ;
- et/ou des atteintes à la disponibilité ;
- et/ou des atteintes à l’intégrité.
Cette forte proportion de violations ayant trait à la confidentialité s’explique de différentes manières :
- La notion de violations de données renvoie dans beaucoup de cas à des défauts de confidentialité qui s’ajoutent à des problèmes d’intégrité et/ou de disponibilité ;
- Les organismes disposent souvent de moyens permettant de retrouver les données dans les 72h après un incident touchant l’intégrité ou la disponibilité.
Le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violations. Cela s’explique par un cas particulier précise la CNIL : « Un prestataire de service, fournissant à ses clients des outils de réservation, a été victime d’une violation de données. Ce dernier a immédiatement averti tous ses clients de la violation ».
Plus de la moitié des violations notifiées trouvent leur origine dans du piratage, des logiciels malveillants ou de l’hameçonnage (65% des cas). Puis viennent les équipements perdus ou volés, les envois indus et les publications non volontaires. La majorité des violations trouve sa cause dans un acte externe malveillant ou dans des actes internes accidentels (15% des cas).
Deux grandes tendances se dessinent :
- Les piratages et vols intentionnels imputables à un tiers malveillant ;
- Les erreurs involontaires imputables à un personnel.
Pour prévenir la majeure partie de ces incidents, la CNIL rappelle – notamment dans son guide sécurité – qu’il est essentiel :
- de penser la sécurité dès le lancement d’un projet ;
- d’effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données ;
- et d’informer régulièrement le personnel sur les risques et enjeux de la sécurité.
Source : cnil.fr
