En France, les violations de données personnelles susceptibles d’engendrer un risque pour les droits et libertés des personnes doivent être signalées à la Commission nationale de l’informatique et des libertés (CNIL). Cette nouvelle disposition oblige les organisations à mettre en place des procédures qui permettent de détecter les incidents de sécurité puis de les faire remonter jusqu’au gendarme français de la protection des libertés et des données personnelles. Quatre mois après l’entrée en application du RGPD, la CNIL dresse un premier bilan chiffré, un état des lieux qui couvre la période allant du 25 mai au 1er octobre 2018.Depuis l’entrée en vigueur du RGPD, la CNIL a indiqué avoir reçu 742 notifications de violations qui concerneraient les données de 33 ;727 ;384 personnes situées en France ou ailleurs. Ces violations se rapportaient essentiellement à des atteintes affectant la confidentialité des données personnelles. La CNIL a également noté des atteintes qui, dans une moindre mesure, ont affecté la disponibilité et/ou l’intégrité des données, soit de façon isolée, soit en association avec le principal motif de notification de violation.
Cette forte proportion de violations ayant trait à la confidentialité peut, selon la CNIL, s’expliquer par le fait que la notion de violations de données débouche dans de nombreux cas sur des problèmes de confidentialité qui compliquent des défauts d’intégrité et/ou de disponibilité. Mais également par le fait que les organisations disposent en général de moyens permettant de retrouver les données dans les 72 h, après la survenue d’un incident ayant affecté l’intégrité ou la disponibilité de ces données.
Dans son rapport, la CNIL précise que le secteur de l’hébergement et de la restauration a été le plus touché avec 185 notifications de violations et évoque deux grandes tendances en se référant à l’origine des violations notifiées : d’un côté, les piratages et vols intentionnels imputables à un tiers malveillant et de l’autre, les erreurs involontaires imputables à un personnel.
Elle fait observer que dans 65 % des cas, les violations notifiées étaient causées par des actes externes malveillants, essentiellement des actes de piratage par l’intermédiaire de logiciels malveillants ou de l’hameçonnage, alors que 15 % d’entre elles étaient dus à des erreurs humaines (les publications non volontaires, les envois indus…). Dans les autres cas (20 % des notifications), il s’agissait de causes non déterminées par l’organisation ou d’actes internes malveillants.
Pour prévenir ces incidents, la CNIL insiste sur le fait qu’il est vital d’intégrer les questions relatives à la sécurité dès le lancement d’un projet et d’informer régulièrement le personnel sur les risques et enjeux de la sécurité. Elle conseille, en outre, d’effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs ou les bases de données.
Signalons au passage que cette entité prévoit des sanctions en cas de non-respect de l’obligation de notification de violation dans les 72 h, une approche répressive pouvant se traduire par l’imputation d’une amende dont le montant peut aller jusqu’à 10 millions d’euros ou représenter jusqu’à 2 % du chiffre d’affaires de l’organisation incriminée. Elle affirme, cependant, privilégier l’accompagnement lors de la réception des notifications dans les délais impartis afin d’aider les professionnels concernés à prendre toutes les mesures pour limiter les conséquences d’une violation.
La CNIL a, par ailleurs, rappelé les pratiques recommandées qu’un organisme devrait mettre en œuvre lorsqu’il subit une violation de données. Il devrait, d’après le gendarme, avertir immédiatement tous les clients de la survenue de l’incident et mettre en place un dispositif dédié afin de les accompagner, incluant le rappel du contexte et des textes, la liste des autorités à contacter en fonction du pays de chaque client et des personnes concernées à contacter, le modèle de courrier ainsi que l’ouverture d’une ligne téléphonique dédiée.
Source : CNIL
Et vous ?
Qu’en pensez-vous ?Voir aussi
À son tour, la CNIL britannique obtient de WhatsApp la suspension du partage des données avec Facebook, en attendant une conformité avec le RGPD La CNIL propose une liste de recommandations relatives à l'utilisation du Wi-Fi public pour éviter certaines situations Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type dans l'environnement professionnel La CNIL a présenté son rapport d'activité sur l'année 2017, la Commission note une augmentation de 59 % de son audience 
