Le Règlement général sur la protection des données (RGPD) célèbre sa première année d’entrée en vigueur. L’occasion de réaliser un premier bilan et un focus particulier sur les notifications de violations de données effectuées cette année par les entreprises auprès de la Commission nationale de l’informatique et des libertés (CNIL). Les indicateurs quantitatifs de la CNIL ont tous atteint des niveaux inédits. Comment interpréter ces chiffres ? Qui est concerné ?
Notre analyse s’appuie notamment sur les données de la CNIL publiées sur la plateforme open data du gouvernement et qui rassemble l’ensemble des notifications de violation de données signalées entre mai 2018 et mars 2019.
I. État des lieux des notifications en France
L’article 33 du RGPD a rendu obligatoire la notification, auprès de l’autorité de contrôle, de toute violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et les libertés des personnes concernées, dans un délai maximum de 72 heures. Cette évolution réglementaire a conduit à une augmentation du nombre de notifications auprès des autorités de contrôle au niveau européen. Dans cette logique, en France, la CNIL a publié un ensemble de données qui rassemble des informations sur la nature, la typologie, le secteur concerné, les causes des violations de données notifiées en 2018.
En se fondant sur les données du data set (voir Schéma 1), la CNIL recense 1 650 notifications entre le 25 mai 2018 et mars 2019. À noter que 17 incidents ont été rapportés à la CNIL dans les cinq jours qui ont suivi le début de RGPD !
On peut aussi observer que le mois de juin 2018 a fait l’objet d’un niveau de notifications record : 322 notifications ont été réalisées auprès de la CNIL au cours du mois qui a suivi l’entrée en vigueur du RGPD. Ces premières notifications massives peuvent s’interpréter comme résultant d’une crainte des sanctions de la part des entreprises.
xxxmettre ici schéma 1 et tableau 2xxx
Quelle est la typologie des violations de données à caractère personnel ?
83 % des notifications réalisées auprès de la CNIL concernent une perte de confidentialité des données (voir Tableau 2). Les données les plus visées concernent à 74 % des combinaisons de données relatives à l’état civil des personnes, aux coordonnées et/ou aux informations financières.
D’après les données de la CNIL, tous les secteurs économiques sont concernés, les activités du secteur financier et de l’assurance sont parmi les plus touchés, tout comme le secteur touristique. Les risques majeurs concernent surtout les données dites « sensibles », dont la définition et les conditions d’utilisations sont réglementées.
Ainsi l’article 9 du RGPD définit les catégories particulières de données de la façon suivante : il s’agit des « données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».
Des violations de données sensibles peu communiquées aux personnes concernées
Si près de 10 % des violations de données concernent des données sensibles, on observe que sur les 156 notifications de violations contenant des données personnelles « sensibles » rapportées à la CNIL en 2018, seulement 15 d’entre elles ont fait l’objet d’une notification auprès des personnes concernées afin de les informer que leurs données sensibles avaient fait l’objet d’une fuite. Pour un tiers d’entre elles, les personnes concernées ne sont pas encore informées mais le seront.
Toutefois, les notifications de violations de données sensibles auprès des personnes physiques concernées ne doivent pas être pas systématiquement réalisées. Cela peut s’expliquer, notamment dans le cas ces violations ne présentent pas un « risque élevé » pour les personnes concernées ou encore le fait que les données en question ont fait l’objet, au préalable, de mesures de protection technique – à l’image du chiffrement – rendant les données personnelles non identifiables.
En effet, l’article 34 du RGPD décrit que le responsable de traitement est obligé de notifier, dans les meilleurs délais, une violation de données personnelles lorsqu’il existe un « risque élevé » pour les droits et libertés d'une personne physique afin qu’elle puisse prendre les précautions qui s’imposent en cas d’incident pour limiter les dommages et préjudices.
Le piratage externe est la principale source de violation
Les données publiées par la CNIL précisent aussi les sources identifiées de violations de données. On peut dégager trois grandes tendances :
- 53 % sont issus d’activités malveillantes externes ;
- 6 % d’actions internes accidentelles ;
- 5 % d’activités malveillantes internes.
La perception des entreprises semble donc bien alignée avec les niveaux de risques constatés. Toutefois, il existe un écart de perception concernant les malveillances internes : 23 % des entreprises interrogées estiment qu’elles représentent leur principal risque (tous risques confondus), alors que dans le cas particulier de la protection des données personnelles, elles ne représentent que 5 % des notifications à la CNIL.
II. État des lieux au niveau européen
En Europe, les situations sont disparates (voir Schéma 3). Les Pays-Bas se hissent à la première place des pays les plus déclarants auprès de leur autorité de contrôle avec près de 15 400 notifications. Face à ses partenaires européens, la France se place 9e des pays les plus déclarants auprès de leur autorité de contrôle. Comment interpréter ces écarts entre la France et des pays avec une économie comparable ? Cette différence significative pourrait s’expliquer par le fait que les Pays-Bas ont une obligation de notification depuis 2016, de même que l’Allemagne et le Royaume-Uni dans certains secteurs, avec leurs législations nationales respectives, et qu’ils ont davantage l’habitude de notifier les infractions à l’autorité de contrôle. En conséquence, le volume de notifications de violation de données serait moins un symbole de la fragilité des entreprises qu’une prise de conscience et une crainte des sanctions financières.
xxxmettre schéma 3xxx
Une possible « surnotification » ?
L’entrée en vigueur du RGPD aurait-elle par ailleurs encouragé un phénomène de « surdéclaration » de la part des responsables de traitement ? C’est en tout cas le point de vue partagé par le commissaire adjoint James Dipple-Johnstone au sein de l’Information Commissioner's Office – l’équivalent britannique de la CNIL – lors d’une conférence sur la cybersécurité en septembre 2018 (voir Encadré 1). Selon lui, certains responsables de traitement peuvent réaliser des déclarations abusives : ils déclarent une violation de données afin d’être transparents, parce qu’ils pensent que tout doit être signalé ou en prévention par crainte de la sanction du régulateur compte tenu du durcissement des amendes.
III. Quelles leçons tirer en entreprise ?
Pour ce qui est des conséquences en entreprise, cet état des lieux invite à plusieurs orientations.
En amont d’un incident, les processus de remontée d’incidents, de qualification et de notification aux autorités semblent devoir gagner en maturité. Le processus de qualification des incidents doit être défini avec l’aide de juristes, notamment concernant les critères d’évaluation de « risque élevé » pour les personnes impactées. À ce sujet, soulignons l’initiative de l’autorité espagnole qui a publié un guide permettant de mieux définir de tels « risques élevés ».
Dans le cas où une notification aux utilisateurs serait nécessaire, la stratégie de notification doit être anticipée. Il existe, en effet, différentes exigences légales à prendre en compte en fonction des pays touchés, en Europe mais aussi dans le monde entier. Certaines exigences nécessitent par exemple des moyens humains exceptionnels comme la mise en place d’une plateforme d’assistance téléphonique aux victimes.
Un accompagnement juridique et judiciaire permet aussi de prévenir ou faire face à des actions de groupe de la part des victimes, prévenir d’éventuelles sanctions des régulateurs, ou encore prévenir tout faux pas de communication externe.
Globalement, ces processus sont à optimiser régulièrement dans une démarche d’amélioration continue. Cela implique de pouvoir évaluer la maturité du processus via des indicateurs de performance et un reporting adéquats, qui rendent compte de la performance et de l’efficacité des efforts déployés, y compris au regard des efforts d’investissement et de la mobilisation des ressources.
Techniquement, le niveau de protection des données personnelles devrait également être revu, face à des sources de fuite principalement externes, et pour limiter le risque d’exposition des données. Outre le chiffrement des données qui répond bien souvent aux besoins, les techniques d’anonymisation et de pseudonymisation gagnent en maturité et sont mieux adaptées à certains usages.
Enfin, un moyen complémentaire de couvrir le risque en entreprise est de souscrire à une assurance contre la fuite de données. En effet, les offres assureurs se développent et gagnent progressivement en maturité. Au préalable, les assureurs demanderont alors généralement à pouvoir estimer le niveau de sécurité des systèmes concernés.
