Faut-il s'inquiéter de l'explosion des plaintes pour violations de données personnelles auprès de la Cnil ?

En 2021, la Cnil a reçu 5.037 notifications de violation de données, soit 2.261 de plus qu'en 2020. Une augmentation spectaculaire, mais qui n'est pas uniquement de mauvais augure. Explications.
François Manens

4 mn

(Crédits : GONZALO FUENTES)

Nouveau record pour la Commission nationale informatique et libertés (Cnil). En 2021, le gendarme français des données personnelles a reçu 5.037 notifications de violation de données, soit 79% de plus qu'en 2020. Derrière ce chiffre se trouve à la fois une bonne et une mauvaise nouvelle.

Depuis l'entrée en vigueur du Règlement général sur la protection des données -le fameux RGPD- en mai 2018, les très nombreuses organisations qui traitent des données personnelles (nom, date de naissance, numéro de téléphone...) ont l'obligation de prévenir la Cnil lorsqu'elles subissent une violation. Elles disposent de 72 heures pour notifier l'incident, à partir du moment où elles l'ont constaté. Dans le cas où elles ne se plieraient pas à cette contrainte réglementaire, elles s'exposent à une amende.

Si l'on voit le verre à moitié plein, le pic de notifications reflète donc une meilleure compréhension de la régulation de la part des entreprises. Mais si l'on voit le verre à moitié vide, ce record ne fait qu'illustrer le pic de cyberattaques historique de l'année 2021. Comme souvent, la réalité se trouve entre les deux constats.

"De nombreuses violations restent non notifiées"

La Cnil explique elle-même le record de notification par une dynamique double. D'un côté, elle observe une forte croissance des attaques informatiques, et notamment des rançongiciels. Ces logiciels malveillants capables de détruire un système informatique et les données qu'il contient sont la cause de 43% des notifications à la Cnil.

De l'autre, elle constate "une meilleure appropriation de l'obligation de notification", qui résulterait pour elle de progrès des entreprises dans "la définition et la mise en œuvre de processus internes permettant de détecter et de réagir face aux violations de données personnelles". Autrement dit, non seulement les entreprises oublient moins souvent de notifier les violations, mais elles détectent aussi plus régulièrement les violations grâce à de meilleures mesures de cybersécurité.

"La Cnil estime cependant que de nombreuses violations restent non notifiées", concède le gendarme des données dans son rapport d'activité, en soulignant la nécessité de continuer à sensibiliser les organismes. Il faut dire que la notion de "violation de données personnelles" encadre un large spectre d'incidents, de la simple exposition de données à des personnes qui ne devrait pas y avoir accès jusqu'à leur modification voire leur destruction.

Concrètement la violation peut avoir pour origine une cyberattaque complexe comme un simple oubli de configuration de mot de passe. La première aura des conséquences visibles pour l'entreprise, la seconde pourrait passer inaperçue pendant plusieurs mois.

Peu de notifications venant des grands groupes

Dans le détail, seules 6% des notifications proviennent de grands groupes, tandis que 69% ont pour origine des PME et des microentreprises. La Cnil justifie cet écart par le fait que les petites entreprises sont "moins armées" que les grandes entreprises face aux piratages informatiques, et que le défaut d'un sous-traitant populaire peut déclencher une vague de notifications. Mais à l'inverse, on pourrait s'étonner de cette disparité avec les grands groupes, qui ont des systèmes d'informations beaucoup plus larges et complexes, et donc plus difficiles à couvrir.

Environ 80% des notifications de violation sont en lien avec une "perte de confidentialité" de données personnelles, c'est-à-dire que les données ont été rendues accessibles à une personne non autorisée. C'est le cas de toutes sortes de fuite de données causées par exemple par des ratés de configurations ou pas de mauvaises pratiques d'hygiène numérique.

Mais au-delà de ces violations dont la portée peut rester relativement limitée, les notifications liées à "une perte de disponibilité" (données temporairement inaccessibles) et celles liées à une "perte d'intégrité" données ont été modifiées ou supprimées) ont quant à elles doublé par rapport à 2020. Autrement dit, les violations les plus problématiques augmentent plus rapidement que les autres.

La Cnil explique une nouvelle fois cette tendance par la montée des cas liés aux rançongiciels, qui ont doublé par rapport à 2020. Plus que jamais, le rançongiciel s'impose comme la principale menace sur les données personnelles, et il place les entreprises victimes dans une situation délicate.

En plus des dégâts causé par l'attaque et de la demande de rançon des cybercriminels, l'entreprise victime peut être sanctionnée d'une amende (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaire global) si le gendarme des données conclut qu'elle n'a pas pris les mesures nécessaires à la protections des données personnelles.

François Manens

4 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.