Photo d'un immeuble troué de part en partPhoto de Nick Bolton sur Unsplash

La CNIL fait le bilan des 17 483 violations de données notifiées en cinq ans

Notifiez, quitte à supprimer

Avatar de l'auteur
Jean-Marc Manach

Publié dans

DroitSécurité

03/04/2024 9 minutes
5

Photo d'un immeuble troué de part en partPhoto de Nick Bolton sur Unsplash

Cinq ans après la mise en œuvre du RGPD, l'autorité de protection des données personnelles relève que, si la moitié des violations de données sont identifiées en moins de 10 heures, et notifiées dans les 72 heures, les organismes mettent, « en moyenne », 113 jours à les constater.

Cinq ans après l’entrée en application du RGPD, la CNIL vient de dresser un premier bilan chiffré des violations de données personnelles qui doivent lui être notifiées « dès qu’un risque est engendré pour les droits et libertés des personnes concernées ».

La CNIL rappelle qu' « une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Non content de devoir notifier ces violations à la CNIL, les entités en cause sont également tenues d’informer les personnes concernées individuellement et de les conseiller sur la manière de se prémunir des risques qu'ils encourent.

2 284 notifications en 2022, 4 668 en 2023

La suite est réservée à nos abonnés.

Déjà abonné ? Se connecter

Abonnez-vous

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

2 284 notifications en 2022, 4 668 en 2023

Les administrations publiques à l’origine de 18 % des notifications

55 % de malveillances externes, 20 % d’erreurs humaines internes

La moitié des violations sont constatées en moins de 10 heures

Une « approche répressive » en cas de négligence volontaire

Fermer

Commentaires (5)


Je peux dire avec une assez bonne certitude que les chiffres concernant les déclarations d'incidents interne sont sous estimés de fou. Les entreprises déclarent beaucoup plus les incidents venant d'actes malveillants que ceux qui arrivent par accident.
Dans ma boite et d'autres, je remarque une extrême prudence avec des discours semblables à : Tu te rends compte de ce que les clients vont penser !
Du coup, on ne déclare aux clients que les incidents les plus graves.

L'impression que j'ai, c'est que toutes les boites pensent comme ça et du coup, si on joue le jeu de la définition de la CNIL sur les violations alors on perd face aux autres qui ne sont pas transparentes.
Je partage ton ressenti sur les impacts en terme d'image. Les organismes pensent d'abord à l'impact sur leur image avant de répondre à leurs obligations légales.

Par contre, attention aussi : un incident n'est pas forcément une violation de données. Exemple : des données sont écrasées (erreur humaine), mais restaurable via des sauvegardes. Il y a une perte de disponibilité, mais temporaire, et qui ne rentre donc pas vraiment dans la définition d'une violation au sens propre, d'autant plus qu'un tel cas ne présente généralement aucun risque pour les personnes physiques (cf. article 33 paragraphe 1 du RGPD).

Car il est bon de le rappeler : la déclaration de violation de données est obligatoire en cas de risque pour des personnes physiques. S'il n'y a aucun impact, il n'y a pas de déclaration obligatoire (on peut toujours la faire, mais c'est facultatif). Mais il faut qu'il n'y ait aucun impact (je le remets en gras volontairement). S'il y a un risque, même faible, alors oui, la déclaration est obligatoire. Ainsi, une fuite de données, même chiffrées, est toujours à déclarer à la CNIL, car présente toujours un risque, aussi faible soit-il.

En cas de doute sur l'impact (par exemple, on constate une violation, sans pouvoir en définir pour l'instant l'ampleur, ni les données concernées, etc.) alors, dans le doute, il faut faire une déclaration préalable à la CNIL, que l'on viendra ensuite compléter au fur et à mesure.

Il faut aussi dissocier la notification à la CNIL de la communication aux personnes concernées. La première est une obligation dès qu'il y a une violation avérée. La seconde uniquement si la violation présente un risque élevé pour les personnes concernées (article 34).

Un autre argument que j'ai entendu, pour ne pas déclarer à la CNIL une violation, c'était la peur que cela déclenche un contrôle. Il faut savoir qu'il ne sera jamais reprochés d'avoir fait une déclaration "inutile", mais qu'il nous sera toujours reproché de ne pas avoir fait de déclaration. Et pour ma part, je serai à la CNIL, si j'ai le choix entre 2 organismes à contrôler, un qui fait des déclarations de temps en temps, un autre qui n'en fait jamais, je choisirai celui qui n'en fait jamais !

fdorin

Je partage ton ressenti sur les impacts en terme d'image. Les organismes pensent d'abord à l'impact sur leur image avant de répondre à leurs obligations légales.

Par contre, attention aussi : un incident n'est pas forcément une violation de données. Exemple : des données sont écrasées (erreur humaine), mais restaurable via des sauvegardes. Il y a une perte de disponibilité, mais temporaire, et qui ne rentre donc pas vraiment dans la définition d'une violation au sens propre, d'autant plus qu'un tel cas ne présente généralement aucun risque pour les personnes physiques (cf. article 33 paragraphe 1 du RGPD).

Car il est bon de le rappeler : la déclaration de violation de données est obligatoire en cas de risque pour des personnes physiques. S'il n'y a aucun impact, il n'y a pas de déclaration obligatoire (on peut toujours la faire, mais c'est facultatif). Mais il faut qu'il n'y ait aucun impact (je le remets en gras volontairement). S'il y a un risque, même faible, alors oui, la déclaration est obligatoire. Ainsi, une fuite de données, même chiffrées, est toujours à déclarer à la CNIL, car présente toujours un risque, aussi faible soit-il.

En cas de doute sur l'impact (par exemple, on constate une violation, sans pouvoir en définir pour l'instant l'ampleur, ni les données concernées, etc.) alors, dans le doute, il faut faire une déclaration préalable à la CNIL, que l'on viendra ensuite compléter au fur et à mesure.

Il faut aussi dissocier la notification à la CNIL de la communication aux personnes concernées. La première est une obligation dès qu'il y a une violation avérée. La seconde uniquement si la violation présente un risque élevé pour les personnes concernées (article 34).

Un autre argument que j'ai entendu, pour ne pas déclarer à la CNIL une violation, c'était la peur que cela déclenche un contrôle. Il faut savoir qu'il ne sera jamais reprochés d'avoir fait une déclaration "inutile", mais qu'il nous sera toujours reproché de ne pas avoir fait de déclaration. Et pour ma part, je serai à la CNIL, si j'ai le choix entre 2 organismes à contrôler, un qui fait des déclarations de temps en temps, un autre qui n'en fait jamais, je choisirai celui qui n'en fait jamais !
Tu as raison, les conséquences pour les personnes sont à prendre en compte. Mais les raisonnements entreprises restent ainsi même pour des cas plus importants. Je vais continuer à essayer de répandre le bon point de vue CNIL dans ma boite mais c'est que la peur du gendarme fait peur !

swiper

Tu as raison, les conséquences pour les personnes sont à prendre en compte. Mais les raisonnements entreprises restent ainsi même pour des cas plus importants. Je vais continuer à essayer de répandre le bon point de vue CNIL dans ma boite mais c'est que la peur du gendarme fait peur !
Je ne peux malheureusement qu'être d'accord... :craint:

J'ai en tête un prestataire de messagerie sécurisée pour la santé, qui malgré plusieurs incidents ces dernières années, n'a pas fait de déclaration, ni de communication auprès de ses utilisateurs.

Pourtant, des mails qui sont bien marqués comme envoyés mais jamais reçus par les destinataires, dans le cadre de la prise en charge de patient (données de santé), c'est bien une violation de données...

C'est pourtant pas compliqué de dire aux utilisateurs que "de telle date à telle date, les emails que vous avez envoyés ne sont pas arrivés à destination. Merci de les renvoyer."

Mais bon, je suis aussi prestataire. J'ai informé mon propre client, mais ne peut pas faire beaucoup plus, n'étant pas RT...

fdorin

Je ne peux malheureusement qu'être d'accord... :craint:

J'ai en tête un prestataire de messagerie sécurisée pour la santé, qui malgré plusieurs incidents ces dernières années, n'a pas fait de déclaration, ni de communication auprès de ses utilisateurs.

Pourtant, des mails qui sont bien marqués comme envoyés mais jamais reçus par les destinataires, dans le cadre de la prise en charge de patient (données de santé), c'est bien une violation de données...

C'est pourtant pas compliqué de dire aux utilisateurs que "de telle date à telle date, les emails que vous avez envoyés ne sont pas arrivés à destination. Merci de les renvoyer."

Mais bon, je suis aussi prestataire. J'ai informé mon propre client, mais ne peut pas faire beaucoup plus, n'étant pas RT...

C'est pourtant pas compliqué de dire aux utilisateurs que "de telle date à telle date, les emails que vous avez envoyés ne sont pas arrivés à destination. Merci de les renvoyer."

Un message technique abscon envoyé mail-daemon@nomdedomaine devrait suffit, non?

Je suis comme toi surpris, hallucinant;