Les violations de données personnelles en forte hausse en 2020

Dans son rapport annuel 2020, la Cnil note une forte augmentation des violations de données imputable en partie aux attaques informatiques. Elle se satisfait aussi d’un RGPD qui a su montrer sa "souplesse" face à la pandémie.

Selon le rapport d’activité de la Cnil, les violations de données ont fait un bon de 24% par rapport à 2019. Parmi celles-ci, près de la moitié étaient imputables à des attaques informatiques, dont 500 à un rançongiciel. Les administrations publiques figurent au premier rang des victimes (459 entités, +28% en un an), les établissements de santé (centre hospitalier, Ephad, maison de santé) les suivant de peu (319 entités, +83%).

Une obligation de notification

Ces chiffres sont l’occasion pour l’autorité administrative indépendante de rappeler l’obligation de lui notifier toute violation de données dans un délai de 72h. Une notification devenue systématique avec la mise en œuvre du règlement général sur les données personnelles (RGPD). Ce dernier définit une violation de donnée comme "la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données". La Cnil souligne que les pertes d’intégrité des données (modification illégitime) et de disponibilité (inaccessibilité pendant un certain temps) sont pleinement concernées par cette obligation. Autrement dit, toute attaque par rançongiciel devrait lui être notifiée, ce qui semble loin d’être le cas aujourd’hui.

Une hygiène informatique perfectible

Les investigations conduites par la Cnil à la suite de ces incidents amènent la commission à faire des recommandations. Elle déplore ainsi que "les règles de bases en sécurité ne sont pas toujours respectées", en particulier dans les "organismes de taille moyenne". Elle recommande une mise à niveau des systèmes d’information et l’usage de "solutions de chiffrement adéquates". Elle encourage également à une approche plus transversale de la sécurité et appelle les profils informatiques (DSI, RSSI) à dialoguer davantage avec les délégués à la protection des données (DPO) et les services métier. Un rapprochement que la commission s’est appliquée à elle-même en "participant à l’écosystème de la cybersécurité" et notamment aux activités du GIP Cybermalveillance.

Le RGPD résiste à la crise sanitaire

La Cnil se félicite par ailleurs de la "souplesse du RGPD" en période de pandémie. Selon la commission, ni la recherche, ni le "contact tracing" (TousAntiCovid) n’ont par exemple pâtit du RGPD. L’approche par la "privacy by design" aurait montré toute sa pertinence. Sollicitée par les collectivités sur l’usage de fichiers pour cibler la distribution de masques ou identifier des personnes à risque elle estime avoir également à chaque fois trouvé des solutions "adaptées". La Cnil note enfin avec satisfaction que le RGPD "a continué de faire son chemin au sein du grand public". 87% des Français sont sensibles aux données personnelles et 67% disent connaître la Cnil. La commission a du reste reçu près de 14.000 plaintes, prononcé 14 sanctions et 49 mises en demeure en 2020. Le total des amendes infligées a atteint 138,5 millions d’euros contre 51,4 millions d’euros un an auparavant.