La Cnil fait le bilan de 5 ans de RGPD

La Commission nationale de l'informatique et des libertés (Cnil) a publié son bilan sur le Règlement général sur la protection des données (RGPD), cinq ans après son entrée en vigueur. Résultat : entre mai 2018 et mai 2023, la CNIL a reçu 17 483 notifications de violations de données. “Ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications”, précise toutefois le régulateur. Mais en regroupant les notifications liées à une même origine, la Cnil constate que le nombre de violations de données notifiées est en hausse. Dans le détail, le secteur privé est à l'origine d’environ deux tiers des déclarations de violations dont 39 % de PME, contre 22% pour le secteur public.

Plus de la moitié des violations notifiées sont issues du piratage, à commencer par les rançongiciels puis les hameçonnages. Le secteur public est plus touché par l'hameçonnage, tandis que le secteur privé est davantage atteint par les rançongiciels. Parmi les autres sources de violations de données fréquentes se trouvent les équipements perdus ou volés, les envois indus et les publications non volontaires.

Un guide des bonnes pratiques

En moyenne, un organisme met 113 jours à constater une violation, mais la moitié des violations sont constatées en moins de 10 heures.Les violations sont notifiées pour 75 % d’entre elles dans les 11 jours de la qualification de l’incident. En cas de retard, les raisons principales sont : la Cnil rappelle l’obligation de notification de la CNIL dans les 72 , puisque sans motif légitime cela constitue un manquement au RGPD. Ce manquement est passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires. Le régulateur a mis en ligne un Guide de la sécurité des données personnelles pour mieux s’informer sur le sujet.