En 5 ans, la CNIL a reçu 17 483 notifications de violations de données. C'est ce que révèle le premier bilan chiffré publié par la CNIL mercredi et qui dresse un état des lieux concernant les violations de données notifiées à la Commission depuis mai 2018.

Sur les 5 années écoulées, on note un pic sur l’année 2021 avec plus de 5 000 notifications de violations (contre 2821 en 2020 ou 4 088 en 2022). 2 déclarations de violations sur 3 à la CNIL concernent le secteur privé, dont 39 % de PME. En termes de répartition par secteur d’activité, la moitié des violations a été notifiée par l’administration publique, les activités spécialisées, scientifiques et techniques, la santé et l’action sociale ainsi que la finance et l’assurance.

Plus de 7500 violations de données en Ile-de-France

Attention, souligne la Commission, les secteurs les plus représentés « ne subissent pas forcément plus d’incidents que les autres et / ou ne protègent pas moins bien les données personnelles » : cela peut notamment se justifier par « une montée en puissance de la détection et du traitement », la « présence importante de délégués à la protection des données » ou encore l’appropriation du RGPD.

La concentration des cyberattaques a lieu dans la région Ile-de-France (+ de 7500 violations de données), dans les Hauts-de-France et dans la région Auvergne-Rhône-Alpes (entre 1200 et 1600 notifications), ce qui correspond logiquement à la plus forte densité des sièges sociaux établis dans certaines régions plutôt que d’autres, observe la CNIL.

Equipements volés ou perdus

Et quelles sont les origines des violations des données ? Plus de la moitié proviennent de piratage (rançongiciels et hameçonnage). Le secteur public serait davantage touché par l’hameçonnage tandis que le secteur privé est plus concerné par les rançongiciels. 20 % des violations de données sont par ailleurs causées par des erreurs humaines (par exemple, équipements volés ou perdus, envois indus ou publications involontaires).

Enfin, il apparaît que la moitié des notifications à la CNIL sont effectuées dans les 72 heures par les responsables de traitement impactés après avoir pris connaissance de la violation des données. Les organismes en retard ont principalement déclaré comme raisons qu’ils ignoraient l’obligation de notification à la CNIL ou qu’ils souhaitaient attendre de disposer d’éléments tangibles et de résultats d’expertises. Attention, alerte la CNIL « le non-respect de l’obligation de notification dans les 72 heures constitue un manquement au RGPD », passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires. En cas de « négligence volontaire » ou de « volonté manifeste de cacher des éléments », elle prévient qu’elle adoptera une « approche répressive ». A bon entendeur !