La commission nationale de l’informatique et des libertés (CNIL) a enregistré « entre 1 200 et 1 300 » notifications de violations de données personnelles depuis le 25 mai, un chiffre qui « permet de prendre conscience de la fragilité » de nombreuses entreprises et institutions en matière de cybersécurité, selon le secrétaire général de la CNIL, Jean Lessi, qui s’exprimait lundi soir lors d’un événement organisé par Orange Cyberdéfense.

Le Réglement général sur la protection des données (RGPD), à dimension européenne, a rendu obligatoire la notification dans les soixante-douze heures, par les entreprises ou institutions concernées, des violations des données personnelles qu’elles détiennent. La non-déclaration de ces violations peut entraîner une amende de 10 millions d’euros, ou de 2 % du chiffre d’affaires.

Une approche « d’accompagnement »

Néanmoins, certains observateurs estiment que les violations sont en réalité plus nombreuses que celles déclarées à la CNIL. « Il est fort probable que la CNIL ne reçoive pas toutes les notifications qui devraient lui être faites », ne serait-ce que par ignorance des obligations en la matière, a reconnu mercredi un porte-parole de cette commission.

Damien Bancal, un journaliste qui anime le blog spécialisé « Zataz », a alerté à lui tout seul, en 2018, 4 000 entreprises françaises qu’elles perdaient des données personnelles, par négligence ou du fait d’actes malveillants. « Depuis 4 ou 5 ans, c’est exponentiel », a-t-il indiqué, expliquant que les boutiques de revente d’identités volées prospéraient sur certaines parties du web.

Lorsque la CNIL est prévenue d’une violation de données personnelles, elle privilégie pour l’instant une approche « d’accompagnement » des entreprises concernées, et les aide à prendre les mesures correctrices. Si elle le juge nécessaire, et si l’entreprise ne l’a pas déjà fait d’elle-même, elle peut lui ordonner de prévenir les personnes concernées par la fuite des données. Ce cas de figure s’est produit une seule fois depuis l’entrée en vigueur du RGPD, a indiqué la CNIL à l’AFP : « L’organisme s’est exécuté », a précisé la commission.

Comprendre le RGPD en cinq questions
Durée : 03:28