RGPD : la santé représente 12 % des violations de données personnelles

Entre mai 2018 et mai 2023, la Commission nationale de l’informatique et des libertés (Cnil) a reçu exactement 17 483 notifications de violations de données. Dans cet agrégat, l’activité de santé humaine et action sociale représente 12 % des notifications, selon le bilan de l’Agence.

La Cnil entendait faire un bilan d’étape sur le contrôle des agents publics et privés qui doivent rendre des comptes sur les violations de leurs données depuis la mise en application du Règlement européen de protection des données (RGPD), entré en vigueur en mai 2018. Ce dernier impose aux entités subissant une violation de prendre les mesures pour en limiter l’impact. En particulier, si les risques sont élevés, les organismes sont tenus d’informer les personnes concernées, si possible, individuellement et de les conseiller sur la manière de se prémunir de ces risques.

Le volume de plus de 17 000 signalements en cinq ans ne reflète pas le nombre réel d’incidents puisqu’un même évènement, tel qu’un piratage, peut donner lieu à de multiples notifications. Cela correspond souvent aux situations où un prestataire est touché par une attaque et la notifie à ses clients, conformément au RGPD, qui eux-mêmes effectuent leurs notifications. Toutefois, en regroupant les notifications liées à une même origine, il apparaît que le nombre de violations de données notifiées est croissant. La Cnil souligne les précautions élémentaires de sécurité à prendre dans un guide à cet effet.

Le fléau des rançongiciels

Plus de la moitié des notifications trouvent leur origine dans du piratage : les rançongiciels sont au premier rang, suivis par les attaques par hameçonnage. Ces dernières sont généralement préalables à d‘autres intrusions. Les analyses montrent que le secteur public est plus touché par l'hameçonnage, tandis que le secteur privé est davantage concerné par les rançongiciels. Les équipements perdus ou volés, les envois indus et les publications non volontaires constituent les autres sources de violations de données les plus fréquentes. Dans plus de la moitié des cas, c’est bien un acte malveillant externe

La répartition des notifications de violations de données personnelles au sein de l’Hexagone n’est pas homogène. On observe une concentration au sein de la région Île-de-France, suivie par les Hauts-de-France et la région Auvergne Rhône-Alpes. Ce phénomène correspond à la densité économique du territoire, en particulier la concentration des sièges sociaux, et ne permet donc pas de tirer de conclusions sur des menaces ou tendances particulières.

Dans les faits, la moitié des violations sont constatées « en moins de 10 heures ». Mais en moyenne, un organisme met 113 jours à constater une violation. Ce chiffre est tiré à la hausse par les situations où il faut parfois plusieurs mois, sinon années, pour se rendre compte qu’une violation a eu lieu…

Sanctions potentielles lourdes pour les contrevenants

Une fois les violations repérées, après le dépôt de plainte ou lors de la prise de contact avec l’assureur cyber, les déclarants doivent notifier la violation auprès de la Cnil dans un délai de 72 heures avec au moins des éléments partiels, qui pourront être complétés par la suite voire même supprimés, dans le cas où la violation ne serait pas avérée.

Sans motif légitime, le non-respect de l’obligation de notification dans les 72 heures constitue un manquement au RGPD, qui peut être sanctionné par la Cnil, et passible d’une amende de 10 millions d’euros ou 2 % du chiffre d’affaires. Et si la gestion d’une violation par le responsable de traitement laisse apparaître une négligence volontaire ou une volonté manifeste de cacher des éléments, le Cnil adoptera une approche répressive à son encontre.