Violation des données en France : plus de 1,6 million de personnes touchées en un an

Violation des données en France : plus de 1,6 million de personnes touchées en un an

Fait-on le nécessaire au sein des entreprises pour protéger les données, alors que la menace des cyberrisques ne cesse de grandir ? Les informations dont on dispose aujourd’hui laissent à penser que non. Et ces inquiétudes se confirment avec la publication récente du premier baromètre concernant les violations de données au sein des entreprises en France.


  • En bref : Violation des données en France : que dit le baromètre « Data Breach » ?
  • La violation de donnée en France est une menace très réelle, désignée comme « polymorphe » par les spécialistes ;
  • Elle a touché plus de 1 615 211 personnes, tous secteurs d’activités confondus, entre juin 2018 et juin 2019 ;
  • Selon la base de données ouverte de la CNIL, au premier semestre de 2019, 812 536 personnes étaient concernées par des violations de données ;
  • Anticiper les cyberincidents est l’un des moyens les plus efficaces pour lutter contre les risques, et cela passe par l’étude de cas et donc une base de données ouverte ;
  • Dans le futur, les assurances cyber ont un rôle clé à jouer pour la protection des entreprises.

Cybersécurité des entreprises : des chiffres inquiétants

Le premier baromètre « Data Breach » par PwC et Bessé, en partenariat avec la Commission nationale de l’informatique et des libertés – ou CNIL –, a été publié lors du FIC 2020, pour Forum International de la Cybersécurité. Son but s’inscrit au cœur de l’une des problématiques grandissantes de l’assurance : la violation de données personnelles. Ce baromètre « constitue à la fois une ressource informationnelle et analytique sur les violations de données en France, et un guide pratique de la gestion du risque », explique le communiqué de presse officiel. L’enjeu est ainsi de sensibiliser le grand public, mais aussi les entreprises, à cette réalité en France. En tout, PwC et Bessé comptabilisent plus de 1,6 million de personnes concernées par ces violations de données sur une année, tous secteurs d’activité confondus.

Le manque de mesures concernant la sécurité des données personnelles dans les entreprises sur les cyberrisques est dangereux.

Au premier semestre de 2019, le baromètre enregistre environ 5,7 violations par jours. Sur l’ensemble des données traitées, 10,4 % sujettes à des notifications auprès de la CNIL étaient des données dites « sensibles ». Celles-ci peuvent concerner des choses aussi diverses que la vie et l’orientation sexuelles, les convictions religieuses ou philosophiques d’un individu, et ainsi de suite. Les raisons de ces violations sont partagées entre plusieurs choses :

  • 54 % étaient dues à de la malveillance : 70 % du piratage, 15 % du vol physique ;
  • 26 % étaient accidentelles : envoi par erreur d’un fichier contenant les données d’un client par exemple ;
  • 20 % sont classées dans « autres » ou « inconnues » : soit les violations de données sur lesquelles l’on manque d’informations.

Selon le directeur général de Compagnie européenne d’intelligence stratégique, Guillaume Tissier, « ce n’est que la partie visible de l’iceberg », et ce nombre d’incidents « est sans doute largement inférieur à la réalité », a-t-il précisé à l’Agence France Presse – ou AFP. Selon lui, nombreuses sont encore les entreprises qui ne prennent pas la peine de notifier à la CNIL les violations de données qu’elles subissent. Cela peut-être par un manque de prise de conscience éthique ou bien par totalement ignorance de leurs obligations à ce sujet.

« L’atteinte à la confidentialité est perçue, à tort, comme la plus grave des violations de données. Or, la manipulation illégitime d’un contenu peut également avoir de lourdes conséquences telles que l’altération d’informations fiscales », précise le baromètre.

Qu’entend-on par violation de données à caractère personnel ?On entend par violation de données à caractère personnel, « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (Art. 4.12 du Règlement général sur la protection des données – dit RGPD).

Cyberrisques et violation des données : comment s’en protéger ?

Le manque d'informations au sein des entreprises concernant la cybersécurité semble avoir un rôle majeur dans la mauvaise prise en charge de la protection des données personnelles.

Le contexte actuel appelle à une prise conscience généralisée, chez les professionnels et le grand public. D’ailleurs en témoigne la multiplication des publications sur le sujet par les concernés et multiples experts à travers le monde. En janvier 2020, Allianz Global Corporate & Specialty a aussi publié son baromètre annuel. Parmi ses multiples conclusions, le document révélait que les cyberincidents et le réchauffement climatique incarnent les deux grands défis des entreprises pour la nouvelle décennie. Mais il insistait également sur le fait que les cyberrisques évoluent et s’imposent comme une menace toujours plus importante pour les entreprises et les particuliers.

Tout cela est évidemment lié au fait que la quantité de données traitées ne cesse de grossir, et que la mise en place de solution de sécurité par les entreprises trop lente.

Le baromètre « Data Breach » est par ailleurs particulièrement intéressant, puisque celui-ci se base sur les données provenant des publications de la CNIL sur la plate-forme data.gouv.fr. « Ce partage d’informations permet d’identifier quels sont, actuellement, les risques qui pèsent sur un organisme, sur les données qu’il traite et, finalement, sur les personnes concernées », explique le FIC.

Les conséquences de ces violations de données sur les entreprises sont nombreuses, et loin d’être minimes :

  • L’impact sur l’activité ;
  • L’atteinte à la réputation ;
  • Les pertes financières ;
  • Les suites judiciaires.

Sur une année, entre juin 2018 et 2019, le nombre de violations de données malveillantes atteint les 54 %. Jean-Philippe Pagès, directeur industrie et services chez Bessé, explique que le cabinet de conseils « contribue à bâtir un espace propice à la réflexion et à la collaboration interentreprises, associant les personnalités du public et du privé, pour favoriser les échanges, les retours d’expérience entre dirigeants et diffuser les meilleures pratiques à adopter face à la menace cyber. »

Le baromètre « Data Breach » préconise ainsi le déploiement de mécanismes de prévention et de réaction, pour lesquels le Data Privacy Officer – ou DPO – a un rôle central. Il « le chef d’orchestre et le point de contact privilégié des autorités de contrôle », est-il précisé. Selon PwC, « la chaîne de valeur de la cybersécurité doit également intégrer des consultants techniques de même que des avocats et des assureurs. » Et la mention des assureurs n’est pas anodine, puisque le document met aussi en lumière le rôle clé que les assurances cyber ont à jouer « dans le processus de gestion des impacts. »

Dans le document détaillant le baromètre, il est donc expliqué que « le dimensionnement et l’efficacité de l’assurance face à ce risque complexe nécessitent une approche sur mesure. […] L’entreprise cyber résiliente est celle qui met en œuvre tous les maillons de cette chaîne de valeur : gouvernance du risque, prévention, protection et transfert du risque résiduel au marché de l’assurance. »

Au-delà de sonner l’alerte, le Baromètre « Data Breach » a aussi été établi pour prodiguer des conseils. Ainsi, il liste cinq mesures préventives à mettre en place pour prévenir une majorité des violations citées précédemment :

  • L’application des principes du moindre privilège ainsi que du cloisonnement ;
  • L’interdiction de faire usage de son email professionnel en dehors de l’activité liée à l’entreprise ;
  • La sensibilisation du personnel de l’entreprise aux techniques du phishing ;
  • La sensibilisation du personnel de l’entreprise au verrouillage d’écrans ;
  • Le recours à des technologies de protection de données, à l’instar du chiffrement de ces dernières.

Des solutions simples pour minimiser les risques, et protéger entreprises et clients tout en éveillant les consciences à des enjeux bien réels.

Violation des données : qui est responsable ?Depuis l’entrée en vigueur du RGPD en 2018, les organismes traitant des données personnelles sont considérés responsables, et doivent à la fois mettre en place des dispositions pour prévenir les cyberrisques, mais aussi réagir en cas de violation. Si celle-ci n’est pas notifiée à la CNIL, les sanctions sont nombreuses. Niveau sanctions administratives, l’amende peut aller jusqu’à 10 millions d’euros ou bien 2 % du chiffre d’affaires de l’entreprise. Niveau sanctions pénales, pour une personne physique cela peut impliquer cinq ans d’emprisonnement et 300 000 d’euros d’amende, et pour une personne morale jusqu’à 1,5 million d’euros d’amende.

Mis à jour le