La Commission nationale de l’informatique et des libertés (Cnil) a enregistré entre « 1.200 et 1.300 » cas de violations de données personnelles depuis l’entrée en vigueur le 25 mai du Règlement européen sur la protection des données (RGPD), soit plus de cinq par jour.

Ce chiffre « permet de prendre conscience de la fragilité » de nombreuses entreprises et institutions en matière de cybersécurité, selon le secrétaire général de la Cnil, Jean Lessi, qui s’exprimait ce lundi soir lors d’un événement organisé par Orange Cyberdéfense.

Les violations pourraient être plus nombreuses

Le RGPD a rendu obligatoire la notification dans les 72 heures, par les entreprises ou institutions concernées, des violations des données personnelles qu’elles détiennent. La non-déclaration de ces violations peut entraîner une amende de 10 millions d’euros, ou 2 % du chiffre d’affaires.

Néanmoins, certains observateurs estiment que les violations sont en réalité plus nombreuses que celles déclarées à la Cnil. « Il est fort probable que la Cnil ne reçoive pas toutes les notifications qui devraient lui être faites », ne serait-ce que par ignorance des obligations en la matière, a reconnu un porte-parole du gendarme français des données personnelles.

Un phénomène « exponentiel »

Selon Damien Bancal, un journaliste qui anime le blog spécialisé Zataz, 4.000 entreprises françaises ont perdu en 2018 des données personnelles, par négligence ou du fait d’actes malveillants. « Depuis quatre ou cinq ans, c’est exponentiel », a-t-il indiqué, expliquant que sur le dark web, les boutiques de revente d’identités volées prospéraient.

Pour l’instant, lorsque la Cnil est prévenue d’une violation de données personnelles, elle privilégie une approche « d’accompagnement » des entreprises concernées en les aidant à prendre les mesures correctrices.