La CNIL dresse un bilan de quatre mois de RGPD

La Commission nationale informatique et libertés (CNIL) a dressé mardi un 1^er bilan chiffré quatre mois après l’entrée en application du RGPD. Ainsi, entre le 25 mai et le 1^er octobre en France, l’instance indique-t-elle avoir reçu 742 notifications de violations qui concerneraient les données de plus de 33,7 millions de personnes situées en France ou ailleurs. Dans ce cadre, le secteur de l'hébergement et de la restauration est surreprésenté avec 185 notifications de violations. Mais ce fort volume de notification, justifie la CNIL, trouve son origine dans un cas particulier, celui d’un prestataire de service, fournissant à ses clients des outils de réservation, qui a été victime d'une violation de données, mais qui a immédiatement averti tous ses clients. Selon le bilan de la CNIL, plus de la moitié des violations notifiées trouvent leur origine « dans du piratage, des logiciels malveillants ou de l'hameçonnage ». Puis viennent les équipements perdus ou volés, les envois indus et les publications non volontaires. « La majorité des violations trouve sa cause dans un acte externe malveillant ou dans des actes internes accidentels », relève la commission. Dans les autres cas (20%), il s'agit le plus souvent de causes « inconnues ou non déterminées » par l'organisme qui notifie ou d'actes internes malveillants.