D'après le baromètre « Data Breach » Fic-Bessé-PWC, sur la base de données ouvertes de la CNIL, 812 536 personnes étaient concernées par les violations notifiées au premier semestre 2019, au titre du RGPD.

54 % étaient dues à de la malveillance (dont 70 % du piratage, et 15 % du vol physique), 26 % étaient accidentelles, comme par exemple l'envoi par erreur d'un fichier de tableur contenant des données clients, et 20 % « autre » ou « inconnues ».

10,4 % des données concernées par les notifications étaient des données « sensibles » (vie et orientation sexuelles, données biométriques, convictions religieuses ou philosophiques, appartenance à un syndicat, origines ethniques...).

Mais « ce n'est que la partie visible de l'iceberg », et ce nombre d'incidents « est sans doute largement inférieur à la réalité », a indiqué à l'AFP Guillaume Tissier, directeur général de Compagnie européenne d'intelligence stratégique (CEIS) qui organise le Forum international de la cybersécurité (FIC).

Non seulement parce qu'il y a encore « pas mal d'entreprises » qui ne notifient pas les violations dont elles sont victimes, jugeant que les personnes concernées (clients, salariés, etc...), sont peu affectées. Mais également parce que d'autres ignorent encore que c'est à elles de notifier une violation de données dont elles ont la charge, même si c'est un sous-traitant qui est à l'origine de celles-ci, a-t-il expliqué.