Ce qui revient à près de 5 cas par jour depuis l’entrée en vigueur du Règlement général sur la protection des données le 25 mai 2018.
« Ce chiffre permet une prise de conscience : la fragilité et le manque de maturité sur les questions de cybersécurité est réel », selon le secrétaire général de la Commission nationale de l’informatique et des libertés (Cnil), Jean Lessi, qui s’est exprimé lors d’une conférence de presse lundi 14 janvier. Avant d’ajouter qu’en l’espace de 8 mois, la Cnil avait reçu entre « 1 200 et 1 300 notifications ».
Pour rappel : le RGPD a rendu obligatoire la notification dans les 72 heures, par les entreprises ou institutions concernées, des violations des données personnelles qu’elles détiennent. La non-déclaration de ces violations peut entraîner une amende de 10 millions d’euros, ou de 2% du chiffre d’affaires (CA).
La prévention avant la sanction
Pour le moment, l'autorité privilégie l’accompagnement plutôt que la sanction. Lorsque la commission est avertie d’une violation de données personnelles, elle aide l’entreprise concernée à prendre des mesures correctrices.
Ce fut le cas pour les 2 groupes de protection sociale Malakoff Médéric et Humanis, épinglés pour avoir utilisé des données personnelles issues de 2 caisses complémentaires de retraite, à des fins commerciales.
Lors d’un 1er bilan réalisé en octobre, la Cnil avait recensé 742 notifications de violation de données qui ne concernaient pas moins de 33,7 millions de personnes situées en France ou ailleurs.