Les violations de données personnelles, notifiées à la CNIL et publiées en open data, représentent une source d’enseignements précieux pour tous les organismes traitant des données personnelles.
Ce partage d’informations permet d’identifier quels sont, actuellement, les risques qui pèsent sur un organisme, sur les données qu’ils traitent et, finalement, sur les personnes concernées.
Anticiper les incidents en se basant sur des cas concrets permet de cibler plus facilement les éléments à améliorer, chez soi, afin de ne pas être exposé et de se retrouver, à son tour, victime d’une violation. Valoriser ces informations profite au plus grand nombre et permet, in fine, de mieux protéger les données personnelles.
Cette première édition du Baromètre Data Breach, publiée lors du FIC 2020 par PwC et Bessé, est une ressource informationnelle et analytique sur les violations de données en France, et un guide pratique de la gestion du risque.
Qu’est-ce qu’une donnée personnelle ?
- Toute information associée à un nom : Manon Lambert est au chômage
- Toute information permettant d’identifier une personne : l’adhérent G3701 est schizophrène
- Toute donnée permettant une identification indirecte des personnes : données biométriques
« La prise de conscience du risque par les entreprises est la pierre angulaire de la maîtrise de l’impact d’une violation de données. »
Sandrine Cullaffroz-Jover, Directrice et Avocate chez PwC Société d'Avocats, et Christophe Madec, expert en cybersécurité chez BesséUn combat multi-sectoriel contre la violation des données
Dans un contexte où l’ampleur et la personnalisation des attaques est en nette progression et où la masse des données personnelles traitées – notamment sensibles – est croissante, la mise en place de solutions dédiées et adaptées aux enjeux de chaque entreprise est essentielle.
En effet, au premier semestre 2019, les experts comptaient en moyenne 5,7 violations par jour, aux impacts transversaux : réputationnels, opérationnels, judiciaires et financiers.
Une violation de données à caractère personnel, non notifiée à la CNIL, peut par exemple entraîner une amende s’élevant jusqu’à 10 millions d'euros, ou 2% du chiffre d’affaires de l’entreprise, responsable de traitement, manquant à son obligation de notification.
Dans la mise en place de mécanismes de prévention et de réaction, le DPO (Data Privacy Officer) doit être le chef d'orchestre et le point de contact privilégié des autorités de contrôle. Pour la période allant de juin 2018 à juin 2019, on estime à 54 % le nombre des violations de données d’origine malveillante, c’est pourquoi la chaîne de valeur de la cybersécurité doit également intégrer des consultants techniques, des avocats ou encore des assureurs.
La violation de données constitue une menace polymorphe de nouvelle génération qui touche, en France, plus de 1 615 211 personnes dans l’ensemble des secteurs d’activités. L’objectif du Baromètre est de sensibiliser le public et les entreprises aux nombreuses violations de données en France.
Violation de données : quel impact sur l’entreprise ?
Si les impacts d’une violation de données varient, on peut identifier des constantes. Une société subit des pertes financières pendant l’attaque, dues à l’indisponibilité des données par exemple, mais aussi après l’attaque lorsqu’elle doit remettre ses systèmes en marche, dédommager des clients ou encore faire face à une chute de son activité en raison d’une perte de confiance des clients.
L’atteinte à la réputation est un impact qui s’inscrit dans le temps long et auquel il est difficile de remédier.
Une violation a aussi un impact sur l’activité d’une société et ce d’autant plus lorsqu’elle engendre une perte de propriété intellectuelle. Enfin, une violation de données peut avoir des suites judiciaires en cas de plaintes ou de non-respect des principes du RGPD par exemple.
Méthodologie
Ce baromètre est animé par le Forum International de la Cybersécurité (FIC) en partenariat avec PwC et Bessé et avec la participation de la CNIL. Les données exploitées sont issues des publications de la CNIL sur la plateforme data.gouv.fr
Contactez-nous
Pierre Capelle
Associé responsable de l’activité Data Analytics et Intelligence Artificielle, PwC France et Maghreb