Depuis le 25 mai 2018, une violation de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel doit être gérée en respect des exigences des article 33 et 34 du règlement général sur la protection des données (RGPD).
Les informations sur la gestion des violations de données et les démarches à effectuer sont accessibles dans la partie "violation des données".
Dans un objectif de transparence, et afin de sensibiliser les responsables de traitement et sous-traitants, la CNPD partage ses retours d’expérience concernant les violations qui ont été notifiées depuis l’entrée en vigueur du RGPD.
Les statistiques suivantes sont basées sur les violations de données à caractère personnel qui doivent être notifiées à la CNPD (GDPR Article 33.1). Elles ne reflètent pas le nombre complet d’incidents de sécurité en rapport avec des données à caractère personnel. Les responsables de traitement sont toujours tenus de maintenir une documentation de tous les incidents de sécurité impliquant des données à caractère personnel (GDPR Article 33.5).
Nombre de violations de données déclarées (25 mai 2018 - 31 décembre 2018): 172
Causes des violations (25 mai 2018 - 31 décembre 2018)
La principale cause de violation de données à caractère personnel reste l’erreur humaine (acte interne non malveillant).
La plupart des erreurs humaines se produisent :
- lorsqu’une procédure existante n’est pas suivie ;
- lorsqu’une règle de sécurité existante est contournée : ce type de cas a fait l’objet d’incidents aux conséquence importantes ;
- lorsque le personnel n’est pas assez sensibilisé aux règles de confidentialité à appliquer ;
- suite à une erreur d’inattention : dépendant du contexte, la mise en place d’un mécanisme de contrôle avant transmission des données (ex : principe des 4 yeux) permet d’éviter ce type d’incident.
Des actes externes malveillants sont à l’origine de plus du quart des violations notifiées. Ce type d’incidents a souvent un impact plus important sur les personnes concernées. Ce type d’acte cible souvent l’accès ou l’obtention de données qui permettent de réaliser des transactions financières à l’insu des personnes concernées (ex : interception de données de cartes de paiement bancaire, phishing pour obtenir les informations de connexions à un service de paiement, usurpation d’identité pour effectuer une transaction financière,…).
Les actes internes malveillants se produisaient principalement lors de départs, volontaires ou non, d’employés d’une organisation: cette situation amène des personnes à copier des données pour potentiellement les utilisés dans leur nouvelle situation. De même, les situations de cessation d’activité / fusion / rachat de sociétés, sont des périodes à risque pour des exfiltrations non autorisées de données.
Les 6% « Autre » sont liés à des bugs techniques qui résultent souvent à la divulgation de données à caractère personnel à des tiers non autorisés (ex : mise en place d’un nouveau service en ligne, mise à jour d’un service en ligne, cas non prévu d’utilisation d’un service, …)
Nature des incidents
Nature de l’impact
La quasi-totalité des violations de données ont un impact en rapport avec la perte confidentialité des données concernées.
Nombre de personnes potentiellement impactées par incident
(NC = nombre de personnes impactées par la violation non connu – cela peut être le cas lors d’une exfiltration de données à partir d’un système dont la journalisation des accès aux données à caractère personnel est mal adaptée ou inexistante)
Nombre de jours entre début incident et détection incident
(NC = Date de début de l’incident non connue)
Plus de la moitié des incidents de sécurité sont détectés dans les 48 heures après qu’ils soient survenus. Toutefois, nous pouvons constater que presque 18% des violations de données à caractère personnel ne sont détectés qu’au minimum un mois après s’être produites: il s’agit plus particulièrement d’incidents liés à des violations continues de la politique de sécurité de l’organisation (ex : du personnel de direction envoie les données professionnelles sur leur email personnel pour travailler du domicile et l’email personnel est piraté), de données subtilisées par des employés lors d’un départ d’une organisation et également de vol de données liée à des piratages non détectés.
Nous attirons également votre attention sur le fait que qu’un certain nombre d’actes de piratage et de phishing est ciblé sur le personnel de la direction d’une organisation et leur entourage (ex : assistant / secrétariat de la direction). Ces actes malveillants ont souvent comme objectif d’obtenir des informations permettant d’effectuer des transactions financières frauduleuses.
Points d’attention:
- Nous constatons que de nombreuses organisations ont mises en place des procédures pour gérer et agir lorsqu’un incident sur des données à caractère personnel se produit. Toutefois, nous constatons que de nombreuses organisations sont moins matures en ce qui concerne la détection des incidents de sécurité.
- Nous souhaitons particulièrement attirer votre attention sur le fait de ne pas communiquer, dans les notifications, les données à caractère personnel concernées par la violation et les informations nominatives des personnes impliquées dans les violations de données.
- Pour rappel, lorsqu’une organisation transmet une notification de violation à la CNPD, nous accusons réception de la notification. La CNPD effectuera une communication ultérieure avec l’organisation qui notifie uniquement en cas de demande d’information complémentaire en rapport avec la notification. Dans le cadre du principe de responsabilisation (accountability), la CNPD intervient uniquement dans la gestion de la violation si elle l’estime nécessaire.