Faut-il s'inquiéter de l'explosion des plaintes pour violations de données personnelles auprès de la Cnil ?
François Manens
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
GONZALO FUENTES
François Manens
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
GONZALO FUENTES
Nouveau record pour la Commission nationale informatique et libertés (Cnil). En 2021, le gendarme français des données personnelles a reçu 5.037 notifications de violation de données, soit 79% de plus qu'en 2020. Derrière ce chiffre se trouve à la fois une bonne et une mauvaise nouvelle.
Depuis l'entrée en vigueur du Règlement général sur la protection des données -le fameux RGPD- en mai 2018, les très nombreuses organisations qui traitent des données personnelles (nom, date de naissance, numéro de téléphone...) ont l'obligation de prévenir la Cnil lorsqu'elles subissent une violation. Elles disposent de 72 heures pour notifier l'incident, à partir du moment où elles l'ont constaté. Dans le cas où elles ne se plieraient pas à cette contrainte réglementaire, elles s'exposent à une amende.
Si l'on voit le verre à moitié plein, le pic de notifications reflète donc une meilleure compréhension de la régulation de la part des entreprises. Mais si l'on voit le verre à moitié vide, ce record ne fait qu'illustrer le pic de cyberattaques historique de l'année 2021. Comme souvent, la réalité se trouve entre les deux constats.
La Cnil explique elle-même le record de notification par une dynamique double. D'un côté, elle observe une forte croissance des attaques informatiques, et notamment des rançongiciels. Ces logiciels malveillants capables de détruire un système informatique et les données qu'il contient sont la cause de 43% des notifications à la Cnil.
À lire également
De l'autre, elle constate "une meilleure appropriation de l'obligation de notification", qui résulterait pour elle de progrès des entreprises dans "la définition et la mise en œuvre de processus internes permettant de détecter et de réagir face aux violations de données personnelles". Autrement dit, non seulement les entreprises oublient moins souvent de notifier les violations, mais elles détectent aussi plus régulièrement les violations grâce à de meilleures mesures de cybersécurité.
Chaque jour à 13h, l’essentiel de l’actualité tech.

François Manens