La CNIL fait le bilan des 17 483 violations de données notifiées en cinq ans

Cinq ans après la mise en œuvre du RGPD, l'autorité de protection des données personnelles relève que, si la moitié des violations de données sont identifiées en moins de 10 heures, et notifiées dans les 72 heures, les organismes mettent, « en moyenne », 113 jours à les constater.

Cinq ans après l’entrée en application du RGPD, la CNIL vient de dresser un premier bilan chiffré des violations de données personnelles qui doivent lui être notifiées « dès qu’un risque est engendré pour les droits et libertés des personnes concernées ».

La CNIL rappelle qu' « une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Non content de devoir notifier ces violations à la CNIL, les entités en cause sont également tenues d’informer les personnes concernées individuellement et de les conseiller sur la manière de se prémunir des risques qu'ils encourent.

2 284 notifications en 2022, 4 668 en 2023

La CNIL a reçu 17 483 notifications entre mai 2018 et mai 2023, avec un pic de 5 037 en 2021, mais précise que « ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications ».

Une seule et même violation de données peut en effet entraîner le principal responsable du traitement à contacter la CNIL et ses clients ou administrés, ce que devrait également faire le ou les prestataires affectés.

Par exemple, France Travail (principal responsable du traitement) a vu ses données violées via un piratage de Cap Emploi, son prestataire. Les deux ont dû signaler le problème à l'autorité.

• • Piratage de France Travail via Cap Emploi : trois suspects interpellés

La CNIL n'en relève pas moins « une tendance à la hausse du nombre d'incidents », tout en reconnaissant qu'il est cependant « difficile de faire la part » entre la meilleure prise en compte du RGPD par les acteurs et une éventuelle amplification des menaces sur les données personnelles.

Les administrations publiques à l'origine de 18 % des notifications

Le secteur privé est à l'origine d’environ deux tiers des déclarations de violations à la CNIL (dont 39 % de PME), quand le secteur public représente pour sa part 22 % des notifications.

Si les administrations publiques représentent 18 % des notifications, suivies par les activités spécialisées, scientifiques et techniques, celles liées à la santé humaine et aux actions sociales, les activités financières et d'assurance, la CNIL précise que « ces chiffres ne reflètent qu’une partie » des incidents de sécurité qui se produisent en France.

Ces secteurs d'activité seraient en effet surreprésentés du fait qu'ils sont en fort lien avec les données personnelles, mais également de la présence importante de délégués à la protection des données dans certains secteurs, de la prise en compte et de l’appropriation du RGPD dans d’autres.

Ainsi, souligne la CNIL, les secteurs les plus représentés « ne subissent pas forcément plus d’incidents que les autres et/ou ne protègent pas moins bien les données personnelles ». De plus, « la montée en puissance de la détection et du traitement engendre, dans les faits, une hausse de cette partie visible de l’iceberg ».

55 % de malveillances externes, 20 % d'erreurs humaines internes

55 % des violations émaneraient d'actes de malveillance, à commencer par les rançongiciels, suivis par les attaques par hameçonnage, qui sont elles-mêmes généralement préalables à d'autres intrusions, sur le même système, voire sur des systèmes d’autres responsables de traitement lorsque la cible attaquée n'est que prestataire.

La CNIL relève que le secteur public est plus touché par l'hameçonnage, tandis que le secteur privé est davantage concerné par les rançongiciels. Les équipements perdus ou volés, les envois indus et les publications non volontaires constituent les autres sources de violations de données les plus fréquentes.

Si 20 % des notifications proviennent d'erreurs humaines interne, la CNIL voit se dessiner « deux grandes tendances : les piratages et vols intentionnels imputables à un tiers malveillant, et les erreurs involontaires d’une ou plusieurs personnes agissant pour le compte du responsable de traitement ».

• • La CNIL met à jour son guide de mise en conformité avec le RGPD

Pour prévenir la majeure partie de ces incidents, la CNIL renvoie à son « guide de la sécurité des données personnelles », qui rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique par les professionnels et qu'elle vient de mettre à jour, et rappelle qu’il est essentiel :

• • de penser la sécurité dès le lancement d’un projet ;

• • de prendre systématiquement des mesures minimales pour la sécurité des données ;

• • d’effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données ;

• • et d’informer régulièrement le personnel sur les risques et enjeux de la cybersécurité.

La moitié des violations sont constatées en moins de 10 heures

Si la moitié des violations sont constatées « en moins de 10 heures », relève la CNIL, « en moyenne, un organisme met 113 jours à constater une violation ». Un chiffre « naturellement tiré à la hausse » par les situations où il faut parfois plusieurs mois, sinon années, pour se rendre compte qu’une violation a eu lieu.

Logiquement, la moitié des notifications faites à la CNIL le sont donc, elles aussi, dans le délai imparti de « 72 heures au plus tard » après la découverte de la violation de données. Et 75 % le sont « dans les 11 jours de la qualification de l’incident », auquel cas, elles doivent être accompagnées des motifs de ce retard.

Les deux principales raisons de retard sont la méconnaissance de l’obligation de notification de la CNIL, les déclarants l’apprenant lors du dépôt d’une plainte ou lors de la prise de contact avec leur assurance cyber par exemple, et la volonté des organismes d’attendre de disposer d’éléments tangibles et de résultats d’expertises pour pouvoir s'en expliquer auprès de la CNIL, et de leurs clients ou administrés.

La CNIL souligne à ce titre qu'il lui semble « préférable de notifier la violation dans le délai de 72 h quitte à ne fournir que des éléments partiels », puis de les compléter par la suite, voire même de les supprimer « dans le cas où la violation ne serait pas avérée ».

Une gestion de crise qui tendrait donc à privilégier le principe de précaution, quitte à agiter le chiffon rouge. La majeure partie des médias (sans même parler des internautes sur les réseaux sociaux) ont ainsi laissé entendre que les données personnelles de 43 millions d'utilisateurs (actuels et passés) de France Travail auraient été piratées.

• • France Travail : un piratage limité à 3 % des 43 millions des victimes « potentielles » ?

• • France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Et ce, alors même que France Travail avait pourtant bien évoqué le chiffre de 43 millions de personnes « potentiellement » affectées, et qu'une source proche de l'affaire nous a depuis indiqué que le nombre de personnes affectées se situerait entre 1 et 1,5 million, soit quelque 3 % de l'ensemble des personnes figurant dans la base de données.

Une « approche répressive » en cas de négligence volontaire

L'autorité insiste aussi (en gras) pour rappeler que « sans motif légitime, le non-respect de l’obligation de notification dans les 72 h constitue un manquement au RGPD », qui peut être sanctionné d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires.

La CNIL précise à ce sujet qu'elle « adoptera une approche répressive » à l'encontre du responsable de traitement si sa gestion d’une violation « laisse apparaître une négligence volontaire ou une volonté manifeste de cacher des éléments ».

Pour autant, l'autorité tient aussi à souligner (là encore en gras) qu'elle « privilégie l’accompagnement des acteurs » en matière de notifications, et que son but est d’ « aider les professionnels concernés à prendre toutes les mesures pour limiter les conséquences d’une violation », pour les personnes concernées en premier lieu, ainsi que pour les professionnels eux-mêmes.

Elle rappelle qu'elle peut en outre apporter un conseil sur les mesures préventives en matière de cybersécurité, et prendre contact, si nécessaire, avec les organismes pour :

• • vérifier que des mesures ont été prises préalablement et/ou postérieurement à la violation, indiquer au responsable les améliorations à mettre en œuvre par exemple sur l’utilisation d’un algorithme de chiffrement adapté ou l’optimisation de la gestion des mots de passe, et renvoyer les responsables vers les services de police pour porter plainte, ou vers la plateforme cybermalveillance.gouv.fr afin de trouver une information ou un prestataire ;

• • évaluer la nécessité, prévue par le RGPD, de réaliser une information des personnes : pour chaque notification, la CNIL estime en effet le risque engendré pour les personnes et peut donc être amenée à recommander à l’organisme de les informer de la violation.

Elle conclut en rappelant qu'il est toujours possible de contacter les services de la CNIL en charge de la gestion des notifications de violations de données personnelles par courriel à l’adresse [email protected].