En quatre mois, la Cnil a recensé 33 millions de cas de violations de données personnelles

CONFIDENTIEL Depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD), les entreprises doivent notifier sous 72 heures toute violation des données personnelles qu’elles détiennent...

20 Minutes avec AFP

— 

Illustration d'une main sur un clavier d'ordinateur.
Illustration d'une main sur un clavier d'ordinateur. — SUPERSTOCK/SIPA

Les vols de données personnelles sont enfin quantifiables. Ce phénomène aurait concerné 33,7 millions de Français depuis le mois de mai, selon la Commission nationale informatique et libertés (Cnil). L’organisme a reçu 742 notifications de violation de données personnelles, a-t-elle annoncé ce mardi.

Depuis l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) le 25 mai, les entreprises sont tenues de notifier sous 72 heures à la Cnil toute violation des données personnelles qu’elles détiennent. Et ce, dans le cas où cette violation entraîne un risque pour les droits et libertés des personnes concernées.

L’hôtellerie-restauration surreprésentée

Beaucoup de spécialistes s’attendent à ce que cette obligation de signalement dissipe la « loi du silence » qui aurait régné jusqu’alors dans le secteur. Parmi les notifications reçues par la Cnil, le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violation. Ce poids particulier s’explique par un incident chez un prestataire fournissant des outils de réservation dans l’hôtellerie-restauration - chacun des clients a dû faire une notification à la Cnil.

Viennent ensuite les secteurs des sciences techniques, des commerces auto-moto, de l’information-communication, de la finance et des assurances. Dans une écrasante majorité des cas (695), les violations signalées sont des atteintes à la confidentialité des données. Mais elles peuvent être également des atteintes à la disponibilité des données (71) ou à leur intégrité (50).

Accompagner les entreprises pour limiter les conséquences

Dans 65 % des cas, ces notifications étaient liées à un acte malveillant venant de l’extérieur. Pour 15 %, il s’agissait d’une erreur humaine interne. Si les entreprises ne signalent pas les problèmes de données personnelles dans les 72 heures, la Cnil a une « approche répressive » et peut infliger une sanction allant jusqu’à dix millions d’euros, ou 2 % du chiffre d’affaires.

En revanche, dans le cas où les entreprises viennent spontanément dans les trois jours, la Cnil « privilégie l’accompagnement », pour « aider les professionnels à prendre toutes les mesures pour limiter les conséquences d’une violation », a-t-elle expliqué.