Plus de 1 200 violations de données personnelles signalées à la Cnil depuis mai

Ce chiffre "permet de prendre conscience de la fragilité" de nombreuses entreprises et institutions en matière de cybersécurité, selon le patron du gendarme français des données personnelles.

Photo d\'ilustration sur la sécurité informatique prise le 8 janvier 2019 à Osterode (Allemagne).
Photo d'ilustration sur la sécurité informatique prise le 8 janvier 2019 à Osterode (Allemagne). (FRANK MAY / PICTURE ALLIANCE / AFP)

La Cnil a enregistré "entre 1 200 et 1 300" cas de violations de données personnelles depuis l'entrée en vigueur du Règlement européen sur la protection des données (RGPD), le 25 mai. Soit plus de cinq cas par jour en France, selon les responsables de l'institution.

Ce chiffre "permet de prendre conscience de la fragilité" de nombreuses entreprises et institutions en matière de cybersécurité, selon le secrétaire général de la Commission nationale de l'informatique et des libertés, Jean Lessi. Il s'exprimait lundi 14 janvier au soir lors d'un évènement organisé par Orange Cyberdéfense.

La Cnil privilégie "l'accompagnement" à la sanction

Le RGPD a rendu obligatoire la notification dans les 72 heures, par les entreprises ou institutions concernées, des violations des données personnelles qu'elles détiennent. La non-déclaration de ces violations peut entraîner une amende de 10 millions d'euros, ou 2% du chiffre d'affaires.

Lorsque la Cnil est prévenue d'une violation de données personnelles, elle privilégie pour l'instant une approche "d'accompagnement" des entreprises concernées. Elle aide l'entreprise à prendre les mesures correctrices. Si elle le juge nécessaire, et si l'entreprise ne l'a pas déjà fait d'elle-même, elle peut lui ordonner de prévenir les personnes concernées par la fuite des données. Ce cas de figure s'est produit une seule fois depuis l'entrée en vigueur du RGPD, a indiqué la Cnil à l'AFP. Et "l'organisme s'est exécuté", a précisé la Cnil.

Des violations encore plus nombreuses ?

Néanmoins, certains observateurs estiment que les violations sont en réalité plus nombreuses que celles déclarées à la Cnil. "Il est fort probable que la Cnil ne reçoive pas toutes les notifications qui devraient lui être faites", ne serait-ce que par ignorance des obligations en la matière, a reconnu mercredi 16 janvier un porte-parole de la Cnil.

Damien Bancal, un journaliste qui anime le blog spécialisé Zataz, a alerté à lui seul, en 2018, 4 000 entreprises françaises, leur expliquant qu'elles perdaient des données personnelles par négligence ou du fait d'actes malveillants. "Depuis quatre ou cinq ans, c'est exponentiel", a-t-il indiqué, expliquant que sur le dark web, les boutiques de revente d'identités volées prospéraient.