![[Fuites de données :] quel bilan après cinq ans de RGPD ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-2160x735.jpg)
Fuites de données : quel bilan après cinq ans de RGPD ?
La Cnil a publié, le 27 mars 2024, un bilan chiffré des violations de données qui lui ont été notifiées depuis le 25 mai 2018, date à laquelle le RGPD a rendu ces signalements obligatoires. L’analyse court jusqu’au 25 mai 2023, pour tirer le bilan de cinq années d’application du règlement.
Sur la période, la Cnil a reçu 17 483 notifications de violations de données. Le nombre d’incidents signalés est toutefois moins élevé, une même fuite pouvant générer plusieurs notifications. La Cnil pointe une croissance des violations sur la période, avec une nette hausse en 2021, un léger recul en 2022, et une reprise en 2023.
« Sur ce constat, il est cependant difficile de faire la part entre la meilleure prise en compte du RGPD par les acteurs et une éventuelle amplification des menaces sur les données personnelles », précise la Cnil. Il en va de même pour l’analyse par secteurs d’activité. Les plus touchés sont :
- L’administration publique (18,1% des notifications) ;
- Les « activités spécialisées, scientifiques et techniques » (14,6%) ;
- La santé humaine et l’action sociale (11,8%) ;
- Les activités financières et d’assurance (10,9%).
Ces chiffres ne signifient cependant pas forcément que ces secteurs sont davantage ciblés, ou que leurs données sont moins bien protégées. Ils pourraient également mieux repérer les fuites, et/ou les signaler plus systématiquement à la Cnil.
Concernant les origines des violations, la tendance est stable depuis 2018. 55% proviennent d’un acte malveillant externe, essentiellement des rançongiciels et de l’hameçonnage, et 20% d’une erreur humaine interne.
Dans la moitié des cas, les organisations touchées ont respecté le délai de 72 heures qu’impose le RGPD pour signaler la fuite. Les trois-quarts l’ont fait dans les 11 jours suivants la découverte de l’incident. La Cnil recommande fortement « de notifier la violation dans le délai de 72 heures quitte à ne fournir que des éléments partiels, qui pourront être complétés par la suite, voire supprimés ».