En quatre mois, 33 millions de cas de violation de données personnelles

Les entreprises sont désormais tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles.
Les entreprises sont désormais tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles. © ANDREW CABALLERO-REYNOLDS / AFP
  • Copié
avec AFP
La Cnil rapporte mardi que depuis l'entrée en vigueur du RGPD en mai dernier, elle a reçu 742 signalements de violation de données personnelles, souvent en raison d'un piratage. 

En quatre mois, la Commission nationale informatique et libertés (Cnil) a reçu 742 notifications de violation de données personnelles, concernant 33,7 millions de personnes en France et à l'étranger, a-t-elle indiqué mardi. Depuis l'entrée en vigueur du Règlement européen sur la protection des données (RGPD) le 25 mai, les entreprises sont tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles qu'elles détiennent, si cette violation entraîne un risque pour les droits et libertés des personnes concernées. Beaucoup de spécialistes s'attendent à ce que cette obligation de signalement dissipe la "loi du silence" qui aurait régné jusqu'alors dans le secteur.

Le secteur de la restauration-hôtellerie particulièrement concerné. Parmi les notifications reçues par la Cnil, le secteur de l'hébergement et de la restauration est surreprésenté avec 185 notifications de violation. Ce poids particulier s'explique par un incident chez un prestataire fournissant des outils de réservation dans l'hôtellerie-restauration - chacun des clients a dû faire une notification à la Cnil. Viennent ensuite les secteur des sciences techniques, des commerces auto-moto, de l'information-communication, de la finance et des assurances. Dans une écrasante majorité des cas (695), les violations signalées sont des atteintes à la confidentialité des données. Mais elles peuvent être également des atteintes à la disponibilité des données (71) ou à leur intégrité (50).

Piratage d'un tiers ou erreur involontaire du personnel. Dans 65% des cas, ces notifications étaient liées à un acte malveillant venant de l'extérieur. Dans 15%, il s'agissait d'une erreur humaine interne. "Deux grandes tendances se dessinent", a estimé la Cnil : "les piratages et vols intentionnels imputables à un tiers malveillant" ou "les erreurs involontaires imputables à un personnel". Si les entreprises ne signalent pas les problèmes de données personnelles dans les 72 heures, la Cnil a une "approche répressive" et peut infliger une sanction allant jusqu'à 10 millions d'euros, ou 2% du chiffre d'affaires. En revanche, dans le cas où les entreprises viennent spontanément dans les trois jours, la Cnil "privilégie l'accompagnement", pour "aider les professionnels à prendre toutes les mesures pour limiter les conséquences d'une violation", a-t-elle expliqué.