La CNIL a publié mardi 16 octobre les chiffres des notifications de violation de données à caractère personnel ayant eu lieu depuis l’entrée en vigueur du RGPD le 25 mai 2018.
Elle a indiqué avoir reçu 742 notifications de violations de données entre le 25 mai et le 1er octobre, qui concerneraient les données à caractère personnel de plus de trente-trois millions de personnes en France et à l’étranger.
Plusieurs formes de violation ont été communiquées, parmi lesquelles 695 concernaient la confidentialité des données (c’est-à-dire que celles-ci ont pu être visibles de personnes ne devant normalement pas y avoir accès), 71 concernaient la disponibilité des données (c’est-à-dire que les données n’étaient plus accessibles) et 50, l’intégrité des données (c’est-à-dire que les données avaient été altérées).
Le nombre important de notifications relatives à des atteintes à la confidentialité est dû à un incident chez un prestataire fournissant des outils de réservation dans l’hôtellerie-restauration. En conséquence, chacun des clients de ce prestataire a dû notifier individuellement à la CNIL le risque constaté de violation de données à caractère personnel.
L’origine des violations a été examinée par la CNIL qui relève que 65 % des notifications étaient liées à un acte malveillant venant de l’extérieur. Il s’agissait d’une erreur humaine interne dans 15 % des cas. C’est le piratage, avec 421 notifications, qui est à l’origine de la plus grande part des failles de sécurité ayant conduit à la violation de données à caractère personnel.
Pour rappel, l’article 33 du RGPD dispose que le responsable d’un traitement de données qui constate une violation de données à caractère personnel doit en notifier la CNIL sous 72h. Dans le cas contraire, il s’expose à des sanctions.
La CNIL semble avoir choisi d’adopter une approche répressive en cas de non-respect de l’obligation de notification dans les 72h en appliquant des sanctions dont le montant peut atteindre la somme de 10 millions d’euros ou de 2% du chiffre d’affaires. En revanche, elle privilégie l’accompagnement lors de la réception des notifications dans les délais.
Cette position peut être rapprochée de celle adoptée par la CNIL lorsqu’elle met une société en demeure de se mettre en conformité avec les dispositions du RGPD.
Ainsi, la société Teemo avait été mise en demeure le 19 juillet 2018 de mettre en conformité ses pratiques d’information et d’obtention du consentement à la collecte des données de géolocalisation de ses utilisateurs.
Elle a procédé depuis à des modifications et informe désormais les utilisateurs de la finalité du traitement des données, de l’identité des responsables de traitement ainsi que de la possibilité de retirer leur consentement au traitement de leurs données à tout moment. Elle a également réduit et adapté la durée de conservation des données.
La CNIL s’est déclarée satisfaite des échanges et des modifications apportées par la société Teemo et a levé la mise en demeure le 4 octobre 2018.
La société Teemo a pu rendre publique sur son site internet la levée de la mise en demeure et en expliquer les raisons en détaillant les actions prises.
Source : Violations de données personnelles : 1er bilan après l’entrée en application du RGPD