La CNIL fait le bilan des 17 483 violations de données notifiées en cinq ans
Notifiez, quitte à supprimer
Cinq ans après la mise en œuvre du RGPD, l'autorité de protection des données personnelles relève que, si la moitié des violations de données sont identifiées en moins de 10 heures, et notifiées dans les 72 heures, les organismes mettent, « en moyenne », 113 jours à les constater.
Le 03 avril à 08h02
9 min
Droit
Droit
Cinq ans après l’entrée en application du RGPD, la CNIL vient de dresser un premier bilan chiffré des violations de données personnelles qui doivent lui être notifiées « dès qu’un risque est engendré pour les droits et libertés des personnes concernées ».
La CNIL rappelle qu' « une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».
Non content de devoir notifier ces violations à la CNIL, les entités en cause sont également tenues d’informer les personnes concernées individuellement et de les conseiller sur la manière de se prémunir des risques qu'ils encourent.
2 284 notifications en 2022, 4 668 en 2023
La CNIL a reçu 17 483 notifications entre mai 2018 et mai 2023, avec un pic de 5 037 en 2021, mais précise que « ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications ».
Une seule et même violation de données peut en effet entraîner le principal responsable du traitement à contacter la CNIL et ses clients ou administrés, ce que devrait également faire le ou les prestataires affectés.
Par exemple, France Travail (principal responsable du traitement) a vu ses données violées via un piratage de Cap Emploi, son prestataire. Les deux ont dû signaler le problème à l'autorité.
La CNIL n'en relève pas moins « une tendance à la hausse du nombre d'incidents », tout en reconnaissant qu'il est cependant « difficile de faire la part » entre la meilleure prise en compte du RGPD par les acteurs et une éventuelle amplification des menaces sur les données personnelles.
Les administrations publiques à l'origine de 18 % des notifications
Le secteur privé est à l'origine d’environ deux tiers des déclarations de violations à la CNIL (dont 39 % de PME), quand le secteur public représente pour sa part 22 % des notifications.
Si les administrations publiques représentent 18 % des notifications, suivies par les activités spécialisées, scientifiques et techniques, celles liées à la santé humaine et aux actions sociales, les activités financières et d'assurance, la CNIL précise que « ces chiffres ne reflètent qu’une partie » des incidents de sécurité qui se produisent en France.
Ces secteurs d'activité seraient en effet surreprésentés du fait qu'ils sont en fort lien avec les données personnelles, mais également de la présence importante de délégués à la protection des données dans certains secteurs, de la prise en compte et de l’appropriation du RGPD dans d’autres.
Ainsi, souligne la CNIL, les secteurs les plus représentés « ne subissent pas forcément plus d’incidents que les autres et/ou ne protègent pas moins bien les données personnelles ». De plus, « la montée en puissance de la détection et du traitement engendre, dans les faits, une hausse de cette partie visible de l’iceberg ».
55 % de malveillances externes, 20 % d'erreurs humaines internes
55 % des violations émaneraient d'actes de malveillance, à commencer par les rançongiciels, suivis par les attaques par hameçonnage, qui sont elles-mêmes généralement préalables à d'autres intrusions, sur le même système, voire sur des systèmes d’autres responsables de traitement lorsque la cible attaquée n'est que prestataire.
La CNIL relève que le secteur public est plus touché par l'hameçonnage, tandis que le secteur privé est davantage concerné par les rançongiciels. Les équipements perdus ou volés, les envois indus et les publications non volontaires constituent les autres sources de violations de données les plus fréquentes.
Si 20 % des notifications proviennent d'erreurs humaines interne, la CNIL voit se dessiner « deux grandes tendances : les piratages et vols intentionnels imputables à un tiers malveillant, et les erreurs involontaires d’une ou plusieurs personnes agissant pour le compte du responsable de traitement ».
Pour prévenir la majeure partie de ces incidents, la CNIL renvoie à son « guide de la sécurité des données personnelles », qui rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique par les professionnels et qu'elle vient de mettre à jour, et rappelle qu’il est essentiel :
-
- de penser la sécurité dès le lancement d’un projet ;
-
- de prendre systématiquement des mesures minimales pour la sécurité des données ;
-
- d’effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données ;
-
- et d’informer régulièrement le personnel sur les risques et enjeux de la cybersécurité.
La moitié des violations sont constatées en moins de 10 heures
Si la moitié des violations sont constatées « en moins de 10 heures », relève la CNIL, « en moyenne, un organisme met 113 jours à constater une violation ». Un chiffre « naturellement tiré à la hausse » par les situations où il faut parfois plusieurs mois, sinon années, pour se rendre compte qu’une violation a eu lieu.
Logiquement, la moitié des notifications faites à la CNIL le sont donc, elles aussi, dans le délai imparti de « 72 heures au plus tard » après la découverte de la violation de données. Et 75 % le sont « dans les 11 jours de la qualification de l’incident », auquel cas, elles doivent être accompagnées des motifs de ce retard.
Les deux principales raisons de retard sont la méconnaissance de l’obligation de notification de la CNIL, les déclarants l’apprenant lors du dépôt d’une plainte ou lors de la prise de contact avec leur assurance cyber par exemple, et la volonté des organismes d’attendre de disposer d’éléments tangibles et de résultats d’expertises pour pouvoir s'en expliquer auprès de la CNIL, et de leurs clients ou administrés.
La CNIL souligne à ce titre qu'il lui semble « préférable de notifier la violation dans le délai de 72 h quitte à ne fournir que des éléments partiels », puis de les compléter par la suite, voire même de les supprimer « dans le cas où la violation ne serait pas avérée ».
Une gestion de crise qui tendrait donc à privilégier le principe de précaution, quitte à agiter le chiffon rouge. La majeure partie des médias (sans même parler des internautes sur les réseaux sociaux) ont ainsi laissé entendre que les données personnelles de 43 millions d'utilisateurs (actuels et passés) de France Travail auraient été piratées.
Et ce, alors même que France Travail avait pourtant bien évoqué le chiffre de 43 millions de personnes « potentiellement » affectées, et qu'une source proche de l'affaire nous a depuis indiqué que le nombre de personnes affectées se situerait entre 1 et 1,5 million, soit quelque 3 % de l'ensemble des personnes figurant dans la base de données.
Une « approche répressive » en cas de négligence volontaire
L'autorité insiste aussi (en gras) pour rappeler que « sans motif légitime, le non-respect de l’obligation de notification dans les 72 h constitue un manquement au RGPD », qui peut être sanctionné d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires.
La CNIL précise à ce sujet qu'elle « adoptera une approche répressive » à l'encontre du responsable de traitement si sa gestion d’une violation « laisse apparaître une négligence volontaire ou une volonté manifeste de cacher des éléments ».
Pour autant, l'autorité tient aussi à souligner (là encore en gras) qu'elle « privilégie l’accompagnement des acteurs » en matière de notifications, et que son but est d’ « aider les professionnels concernés à prendre toutes les mesures pour limiter les conséquences d’une violation », pour les personnes concernées en premier lieu, ainsi que pour les professionnels eux-mêmes.
Elle rappelle qu'elle peut en outre apporter un conseil sur les mesures préventives en matière de cybersécurité, et prendre contact, si nécessaire, avec les organismes pour :
-
- vérifier que des mesures ont été prises préalablement et/ou postérieurement à la violation, indiquer au responsable les améliorations à mettre en œuvre par exemple sur l’utilisation d’un algorithme de chiffrement adapté ou l’optimisation de la gestion des mots de passe, et renvoyer les responsables vers les services de police pour porter plainte, ou vers la plateforme cybermalveillance.gouv.fr afin de trouver une information ou un prestataire ;
-
- évaluer la nécessité, prévue par le RGPD, de réaliser une information des personnes : pour chaque notification, la CNIL estime en effet le risque engendré pour les personnes et peut donc être amenée à recommander à l’organisme de les informer de la violation.
Elle conclut en rappelant qu'il est toujours possible de contacter les services de la CNIL en charge de la gestion des notifications de violations de données personnelles par courriel à l’adresse [email protected].
La CNIL fait le bilan des 17 483 violations de données notifiées en cinq ans
-
2 284 notifications en 2022, 4 668 en 2023
-
Les administrations publiques à l’origine de 18 % des notifications
-
55 % de malveillances externes, 20 % d’erreurs humaines internes
-
La moitié des violations sont constatées en moins de 10 heures
-
Une « approche répressive » en cas de négligence volontaire
Commentaires (5)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 03/04/2024 à 11h00
Dans ma boite et d'autres, je remarque une extrême prudence avec des discours semblables à : Tu te rends compte de ce que les clients vont penser !
Du coup, on ne déclare aux clients que les incidents les plus graves.
L'impression que j'ai, c'est que toutes les boites pensent comme ça et du coup, si on joue le jeu de la définition de la CNIL sur les violations alors on perd face aux autres qui ne sont pas transparentes.
Le 03/04/2024 à 11h45
Par contre, attention aussi : un incident n'est pas forcément une violation de données. Exemple : des données sont écrasées (erreur humaine), mais restaurable via des sauvegardes. Il y a une perte de disponibilité, mais temporaire, et qui ne rentre donc pas vraiment dans la définition d'une violation au sens propre, d'autant plus qu'un tel cas ne présente généralement aucun risque pour les personnes physiques (cf. article 33 paragraphe 1 du RGPD).
Car il est bon de le rappeler : la déclaration de violation de données est obligatoire en cas de risque pour des personnes physiques. S'il n'y a aucun impact, il n'y a pas de déclaration obligatoire (on peut toujours la faire, mais c'est facultatif). Mais il faut qu'il n'y ait aucun impact (je le remets en gras volontairement). S'il y a un risque, même faible, alors oui, la déclaration est obligatoire. Ainsi, une fuite de données, même chiffrées, est toujours à déclarer à la CNIL, car présente toujours un risque, aussi faible soit-il.
En cas de doute sur l'impact (par exemple, on constate une violation, sans pouvoir en définir pour l'instant l'ampleur, ni les données concernées, etc.) alors, dans le doute, il faut faire une déclaration préalable à la CNIL, que l'on viendra ensuite compléter au fur et à mesure.
Il faut aussi dissocier la notification à la CNIL de la communication aux personnes concernées. La première est une obligation dès qu'il y a une violation avérée. La seconde uniquement si la violation présente un risque élevé pour les personnes concernées (article 34).
Un autre argument que j'ai entendu, pour ne pas déclarer à la CNIL une violation, c'était la peur que cela déclenche un contrôle. Il faut savoir qu'il ne sera jamais reprochés d'avoir fait une déclaration "inutile", mais qu'il nous sera toujours reproché de ne pas avoir fait de déclaration. Et pour ma part, je serai à la CNIL, si j'ai le choix entre 2 organismes à contrôler, un qui fait des déclarations de temps en temps, un autre qui n'en fait jamais, je choisirai celui qui n'en fait jamais !
Le 03/04/2024 à 11h55
Le 03/04/2024 à 14h54
J'ai en tête un prestataire de messagerie sécurisée pour la santé, qui malgré plusieurs incidents ces dernières années, n'a pas fait de déclaration, ni de communication auprès de ses utilisateurs.
Pourtant, des mails qui sont bien marqués comme envoyés mais jamais reçus par les destinataires, dans le cadre de la prise en charge de patient (données de santé), c'est bien une violation de données...
C'est pourtant pas compliqué de dire aux utilisateurs que "de telle date à telle date, les emails que vous avez envoyés ne sont pas arrivés à destination. Merci de les renvoyer."
Mais bon, je suis aussi prestataire. J'ai informé mon propre client, mais ne peut pas faire beaucoup plus, n'étant pas RT...
Le 06/04/2024 à 08h41
Un message technique abscon envoyé mail-daemon@nomdedomaine devrait suffit, non?
Je suis comme toi surpris, hallucinant;