La Commission nationale de l’informatique et des libertés poursuit ses observations sur le Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018. Après un point d’étape livrant un panorama général sur la façon dont les particuliers et les professionnels se positionnent face à ce cadre, encore très récent, un autre bilan est proposé, cette fois centré sur les infractions.
Publiée le 15 octobre sur le site de la CNIL, cette synthèse montre que les violations de données personnelles recouvrent en fait trois types de problèmes : les infractions quant à la confidentialité des données (elles sont visibles par des tiers non autorisés), les cas d’indisponibilité (y accéder n’est plus possible) et la compromission de leur intégrité (elles ont été altérées ou effacées).
Synthèse des infractions
Il s’avère que sur la période observée (du 25 mai au 1er octobre), il y a un très net déséquilibre. La très grande majorité des incidents concerne en effet le premier cas de figure : 695 incidents sur 742 notifications reçues. Les deux autres sont presque au même niveau, 71 alertes pour la disponibilité des données et 50 signalements pour l’intégrité des données.
Ces quelques centaines de notifications peuvent sembler peu nombreuses : en fait, elles ne reflètent pas le nombre de victimes potentielles, car un signalement peut très bien porter sur une base de données regroupant des milliers, des centaines de milliers, voire des millions de comptes personnels. On s’en rend vite compte avec l’estimation de la CNIL sur le nombre de personnes possiblement à risque.
La Commission évoque en effet un contingent de plus de 33,7 millions de personnes (situées en France ou ailleurs). Un nombre à manier avec précaution : il est possible qu’il y ait des doublons dans cette addition : en effet, une même victime peut par malchance être concernée par deux (ou plus) notifications recensées par la CNIL. Or, cela n’en fait pas pour autant deux victimes distinctes (ou plus).
742 notifications reçues, qui concerneraient plus de 33,7 millions de personnes
Quant à la cause de ces infractions, elles sont dans deux cas sur trois (65 %) causées par un acte malveillant interne. Les 35 % restants se partagent entre l’erreur humaine interne — c’est-à-dire au sein de l’organisation gérant les données personnelles compromises –, à 15 %, et par des facteurs non précisés (20 %). Ce sont en général des causes inconnues ou indéterminées par l’organisme victime, ou d’actes internes malveillants.
Les actes malveillants sont principalement produits par des actions de piratage (mises en œuvre par des logiciels malveillants ou des campagnes de hameçonnage, principalement). Celles-ci couvrent plus de la moitié des cas de figure. D’autres causes expliquant ces violations sont données : cela va de la perte ou le vol d’un équipement à la publication involontaire d’informations, en passant par l’envoi de données au mauvais destinataire.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !