Entré en vigueur en mai dernier, le Règlement général sur la protection des données personnelles (RGPD) ne se limite pas aux fenêtres pop-ups qui nous contrarient quotidiennement sur la Toile. Il a également introduit une nouvelle obligation de notification pour les organismes qui traitent des données personnelles. Celles-ci doivent alerter la CNIL dans les 72 heures après avoir constaté une violation de ces données. Ne pas se soumettre à cette obligation, c’est prendre le risque d’une sanction plus lourde dans le futur.
A l’occasion d’une conférence organisée hier soir, lundi 14 janvier, par Orange Cyberdefense, Jean Lessi, secrétaire général de la CNIL, a dressé un nouveau bilan intermédiaire de cette mesure. En l’espace de presque huit mois, l’autorité a reçu « entre 1200 et 1300 notifications », soit plus de 5 par jour en moyenne.
Un open bar pour les pirates
Le secrétaire général n’a pas donné plus de précisions sur ce chiffre. Mais il est probable que la très grande majorité de ces notifications concernent des atteintes à la confidentialité des données en question. C’est en effet la tendance qui s’est dégagée en octobre dernier, lorsque que la CNIL avait fait un premier bilan de cette obligation de notification. A cette occasion, il était également apparu qu’une grande majorité de ces violations provenait d’actes malveillants externes (65%). Autrement dit des pirates.
Combien de personnes sont impactées par ces violations ? Là encore, la CNIL n’a pas donné de détails, mais on peut penser que c’est le cas pour environ 40 à 50 millions de personnes en France. En effet, en octobre dernier, plus de 33 millions de personnes étaient déjà concernées par les 742 notifications que la CNIL avait récoltées à l’époque. En d’autres termes, plus d’un Français sur deux a été récemment victime d’une violation de ses données personnelles. Ce qui est franchement énorme. Ces chiffres donnent l’impression que les données personnelles sont un open bar pour les pirates. A noter que le secteur le plus touché est l’hôtellerie.
Pour autant, l’autorité ne cède pas à la panique. L’heure est à la pédagogie. «Cela permet de faire émerger et prendre conscience des fragilités et du retard qui étaient présents. Par rapport à ça, on est vraiment dans l’optique accompagnement. On ne va pas se jeter sur l’organisme et le sanctionner, mais vérifier que les bonnes mesures ont été prises pour colmater le problème à court terme et que l’organisme s’inscrit dans une bonne dynamique sur le long terme », explique Jean Lessi.
La moitié des DPO a été nommée
Mais la route est encore longue. Selon le RGPD, chaque organisme doit désigner un « délégué à la protection des données » (DPO), qui doit s’assurer de la conformité des traitements. A ce jour, seuls 40 000 ont été désignés en France sur un objectif de 80 000. Les communes sont particulièrement à la traîne. Sur les 35 000 communes françaises, seules 10 000 ont désigné un DPO. « C’est avant tout une question de volonté stratégique. Si le dirigeant d’une entreprise ou le maire d’une commune prend le sujet au sérieux, alors il sera bien traité », explique Jean Lessi. La bonne nouvelle, c’est qu’en matière de protection des données personnelles, on ne pourra que progresser.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.