BFM Business

En quatre mois, 33 millions de cas de violation de données personnelles constatées par la Cnil

Parmi les notifications reçues par la Cnil, le secteur de l'hébergement et de la restauration est surreprésenté

Parmi les notifications reçues par la Cnil, le secteur de l'hébergement et de la restauration est surreprésenté - Loic Venance - AFP

Le RGPD impose aux entreprises de signaler les problèmes de données personnelles. Si elle ne le font pas dans les 72 heures, la Cnil peut infliger une sanction allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires.

En quatre mois, la Commission nationale informatique et libertés (Cnil) a reçu 742 notifications de violation de données personnelles, concernant 33,7 millions de personnes en France et à l'étranger, a-t-elle indiqué mardi.

Depuis l'entrée en vigueur du Règlement européen sur la protection des données (RGPD) le 25 mai, les entreprises sont tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles qu'elles détiennent, si cette violation entraîne un risque pour les droits et libertés des personnes concernées. Beaucoup de spécialistes s'attendent à ce que cette obligation de signalement dissipe la "loi du silence" qui aurait régné jusqu'alors dans le secteur.

Parmi les notifications reçues par la Cnil, le secteur de l'hébergement et de la restauration est surreprésenté avec 185 notifications de violation. Ce poids particulier s'explique par un incident chez un prestataire fournissant des outils de réservation dans l'hôtellerie-restauration - chacun des clients a dû faire une notification à la Cnil.

Acte malveillant externe ou erreur humaine interne

Viennent ensuite les secteur des sciences techniques, des commerces auto-moto, de l'information-communication, de la finance et des assurances. Dans une écrasante majorité des cas (695), les violations signalées sont des atteintes à la confidentialité des données.

Mais elles peuvent être également des atteintes à la disponibilité des données (71) ou à leur intégrité (50). Dans 65% des cas, ces notifications étaient liées à un acte malveillant venant de l'extérieur. Dans 15%, il s'agissait d'une erreur humaine interne.

"Deux grandes tendances se dessinent", a estimé la Cnil: "les piratages et vols intentionnels imputables à un tiers malveillant" ou "les erreurs involontaires imputables à un personnel".

Si les entreprises ne signalent pas les problèmes de données personnelles dans les 72 heures, la Cnil a une "approche répressive" et peut infliger une sanction allant jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires.

En revanche, dans le cas ou les entreprises viennent spontanément dans les trois jours, la Cnil "privilégie l'accompagnement", pour "aider les professionnels à prendre toutes les mesures pour limiter les conséquences d'une violation", a-t-elle expliqué.

P.S. avec AFP