Cnil : 1er bilan après l’entrée en application du RGPD

7 novembre 2018

La Commission nationale de l’informatique et des libertés (Cnil) présente son premier bilan relatif à l’entrée en application du règlement général sur la protection des données (RGPD).

Le 16 octobre 2018, la Commission nationale de l’informatique et des libertés (Cnil) a présenté, quatre mois après l’entrée en application du règlement général sur la protection des données (RGPD), le premier bilan chiffré.
La Cnil rappelle tout d’abord que depuis l’entrée en application du RGPD, les violations de données personnelles doivent, dans certains cas, lui être notifiées. Cette nouvelle obligation nécessite que les organismes mettent en place des procédures permettant de détecter puis de remonter les incidents de sécurité. Ainsi, la Cnil a reçu 742 notifications de violations (entre le 25 mai et le 1er octobre 2018) qui concerneraient les données de 33.727.384 personnes situées en France ou ailleurs.
Concernant les secteurs d’où viennent majoritairement les notifications, le secteur de l’hébergement et de la restauration est surreprésenté avec 185 notifications de violations. Plus de la moitié des violations notifiées trouvent leur origine dans du piratage, des logiciels malveillants ou de l’hameçonnage, puis viennent les équipements perdus ou volés, les envois indus et les publications non volontaires. La majorité des violations trouve sa cause dans un acte externe malveillant ou dans des actes internes accidentels. Dans les autres cas (20 %), il s’agit le plus souvent de causes inconnues ou non déterminées par l’organisme qui notifie ou d’actes internes malveillants.
La Cnil ajoute que tout organisme victime d’une violation de données doit la notifier dans les 72h sous peine de subir une amende de 10 millions d’euros ou 2 % du chiffre d’affaires. En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais impartis, une approche qui a pour but d’aider les professionnels concernés à prendre toutes les mesures pour limiter les conséquences d’une violation.

– Communiqué de presse de la Cnil du 16 octobre 2018 – “Violations de données personnelles : 1er bilan après l’entrée en application du RGPD” – https://www.cnil.fr/fr/violations-de-donnees-personnelles-1er-bilan-apres-lentree-en-application-du-rgpd
– Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – https://www.cnil.fr/fr/violations-de-donnees-personnelles-1er-bilan-apres-lentree-en-application-du-rgpd