La Commission nationale de l’informatique et des libertés a été informée de 742 violations de données personnelles, concernant 33,7 millions d’individus.

La Commission nationale de l’informatique et des libertés a été informée de 742 violations de données personnelles, concernant 33,7 millions d’individus. / NICOLAS SIX / QUENTIN HUGON / « LE MONDE »

La Commission nationale de l’informatique et des libertés (CNIL) a été informée, entre le 25 mai et le 1er octobre, de 742 violations de données personnelles, dont 421 piratages informatiques, a-t-elle fait savoir au Monde.

Il s’agit d’une des mesures du nouveau règlement européen sur la protection des données (RGPD) : lorsqu’un organisme ou une entreprise qui gère des données personnelles voit ces dernières compromises, il doit, dans certains cas, en informer l’autorité compétente. Ils ont soixante-douze heures pour le faire, faute de quoi ils s’exposent à une très forte amende (10 millions d’euros ou 2 % du chiffre d’affaires).

33,7 millions de personnes concernées

33,7 millions de personnes ont vu leurs données compromises. Il ne s’agit pas nécessairement de Français, mais d’individus dont les données étaient détenues par des organismes dépendant de la CNIL.

Dans le détail, 695 violations concernaient la confidentialité des données, le reste se répartissant entre des problèmes de disponibilité des données (par exemple lorsqu’elles sont rendues inaccessibles par un rançongiciel) et d’intégrité (l’exemple donné par la CNIL est celui de collégiens modifiant leurs notes dans le logiciel interne).

Outre les piratages (421), la nature des violations des données est variée : équipement perdu ou volé contenant des données personnelles (47), envoi involontaire de ces données à un mauvais destinataire (62) ou leur publication involontaire (43).

Le secteur de l’hôtellerie et de la restauration est le principal concerné avec 185 notifications à la CNIL. Et pour cause, la Commission révèle qu’un « prestataire de service, fournissant à ses clients des outils de réservation, a été victime d’une violation de données », donnant lieu à plusieurs signalements auprès d’elle.

Comprendre le RGPD, le nouveau règlement de protection des données, en cinq questions