5 années de RGPD, un premier bilan

  • rgpd_cnil.jpg

    5-annees-RGPD-premier-bilan
    Une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles (Freepik Premium / pablographix)
  • La Cnil dresse un bilan chiffré des 17 483 violations de données notifiées tout au long des cinq années après l'entrée en application du Règlement général sur la protection des données.

    Le 25 mai 2018, le Règlement général sur la protection des données entrait en application avec un objectif :  mieux encadrer le traitement des données personnelles sur le continent européen. Le RGPD impose notamment que les violations de données personnelles soient notifiées à la Cnil dès qu’un risque est engendré pour les droits et libertés des personnes concernées.

    "Une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante" explique la Cnil.

    17 483 notifications de violations de données entre mai 2018 et mai 2023

    Entre mai 2018 et mai 2023, la commission a reçu 17 483 notifications de violations de données. "Ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications. Cela correspond souvent aux situations où un prestataire est touché par une attaque et la notifie à ses clients, conformément au RGPD, qui eux même effectuent leurs propres notifications."

    Une analyse par année fait apparaître une hausse continue de ces notifications pendant les premières années d'application du RGPD : 1170 en 2018, 2284 en 2019, 2821 en 2020 et 5037 en 2021. Depuis, la Cnil observe une baisse des notifications.

    Actes malveillants externes

    Le secteur privé est à l'origine d’environ deux tiers des déclarations de violations à la Cnil dont 39 % de PME alors que secteur public représente 22 % des notifications. Quant aux origines des violations de données, elle proviennent majoritairement d'actes malveillants externes (55 %),  puis d'erreurs humaines commises en interne (20 %) et autres raisons (25 %).

    A l'intention des organisations, la Cnil rappelle les étapes d'une notification de violation des données : après la découverte de la violation, l'organisme dispose de 72 heures pour notifier la Cnil. Dans le même temps, les organisations sont invitées à mettre en œuvre des contre-mesures et à estimer les risques engendrés pour les personnes.

    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".

    Serda Formations Data 2023