Le 25 mai 2018, le Règlement général sur la protection des données entrait en application avec un objectif : mieux encadrer le traitement des données personnelles sur le continent européen. Le RGPD impose notamment que les violations de données personnelles soient notifiées à la Cnil dès qu’un risque est engendré pour les droits et libertés des personnes concernées.
"Une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante" explique la Cnil.
17 483 notifications de violations de données entre mai 2018 et mai 2023
Entre mai 2018 et mai 2023, la commission a reçu 17 483 notifications de violations de données. "Ce volume ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications. Cela correspond souvent aux situations où un prestataire est touché par une attaque et la notifie à ses clients, conformément au RGPD, qui eux même effectuent leurs propres notifications."
Une analyse par année fait apparaître une hausse continue de ces notifications pendant les premières années d'application du RGPD : 1170 en 2018, 2284 en 2019, 2821 en 2020 et 5037 en 2021. Depuis, la Cnil observe une baisse des notifications.
Actes malveillants externes
Le secteur privé est à l'origine d’environ deux tiers des déclarations de violations à la Cnil dont 39 % de PME alors que secteur public représente 22 % des notifications. Quant aux origines des violations de données, elle proviennent majoritairement d'actes malveillants externes (55 %), puis d'erreurs humaines commises en interne (20 %) et autres raisons (25 %).
A l'intention des organisations, la Cnil rappelle les étapes d'une notification de violation des données : après la découverte de la violation, l'organisme dispose de 72 heures pour notifier la Cnil. Dans le même temps, les organisations sont invitées à mettre en œuvre des contre-mesures et à estimer les risques engendrés pour les personnes.