11 Fév, 2019

Les atteintes à la protection des données signalées en Europe dans le cadre de la RGPD dépassent 59 000

Business, Electronique, Informatique, Internet, Logiciel, Matériel, NTIC, Réseau, Services, Sociétés, Technologie, Télécoms, Téléphonie

Huit mois après l’entrée en vigueur du règlement général de l’UE sur la protection des données, les autorités européennes de protection des données ont reçu plus de 59 000 rapports de violation de données, selon le cabinet juridique DLA Piper.

Le cabinet a analysé les rapports d’atteinte à la protection des données qui ont été déposés par 23 des 28 États membres de l’UE depuis l’entrée en vigueur du GDPR le 25 mai 2018.

Avis d’atteinte à la protection des données – au 28 janvier 2019

DLA Piper’s count or extrapolated estimate of the number of data breach reports received by EU countries from May 25, 2018, to Jan. 28, 2019. Note : Les données de la Bulgarie, de la Croatie, de l’Estonie, de la Lituanie et de la Slovaquie ne sont pas accessibles au public et ne sont pas présentées ci-dessus.

Il est plus difficile qu’il n’y paraît de compter le nombre de rapports d’atteinte à la protection des données.

Fin janvier, par exemple, la Commission européenne a indiqué que les régulateurs de la protection des données de l’UE avaient collectivement reçu 41 502 notifications de violation de données. Mais cela a été basé sur les contributions volontaires de seulement 21 Etats membres de l’UE. Certaines des infractions signalées se sont également produites entièrement avant l’entrée en vigueur de la RGPD, ce qui signifie que les anciennes lois sur la protection des données s’appliquent.

« Sur la base de nos propres recherches couvrant 23 des 28 États membres de l’UE, ainsi que des chiffres pour la Norvège, l’Islande et le Lichtenstein – les trois autres États membres de l’Espace économique européen – nous calculons que 59 430 atteintes à la protection des données ont été signalées au cours de la même période en Europe « , indique DLA Piper. « Les Pays-Bas, l’Allemagne et le Royaume-Uni arrivent en tête du classement avec le plus grand nombre d’atteintes à la protection des données notifiées aux autorités de contrôle, soit environ 15 400, 12 600 et 10 600 respectivement ».

Au bas de l’échelle, le Liechtenstein, l’Islande et Chypre ont reçu chacun moins de trois douzaines de rapports de violation.

En pondérant les rapports d’atteinte à la protection des données en fonction de la population du pays, DLA Piper a constaté que les Pays-Bas ont enregistré le plus grand nombre de rapports par habitant, suivis de l’Irlande et du Danemark. « Le Royaume-Uni, l’Allemagne et la France se classent respectivement dixième, onzième et vingt et unième, tandis que la Grèce, l’Italie et la Roumanie sont les pays qui ont signalé le moins d’infractions par habitant « , indique le rapport.

Ces classements par habitant ne sont toutefois qu’un grain de sel, car dans le cadre de la RGPD, les organisations non européennes dont le siège social est établi en Europe peuvent bénéficier d’un mécanisme de « guichet unique ». Cela permet aux organisations qui ont une présence dans plusieurs pays membres de l’UE d’être soumises à la surveillance réglementaire d’une seule autorité de surveillance, plutôt que d’être soumises à la réglementation des autorités de surveillance de chaque pays dans lequel elles ont une présence commerciale. L’autorité de surveillance de la nation de l' »établissement principal » de l’organisation assume le rôle d’autorité de surveillance principale.

Par exemple, de nombreux géants américains de la technologie – dont Facebook, Microsoft, Twitter et bientôt Google – ont leur siège européen en Irlande et signaleront donc toutes les atteintes à la protection des données au DPA (Data Protection Act) irlandais.

Mais DLA Piper indique que les pondérations par habitant révèlent également certains signaux d’alarme, y compris des normes culturelles potentiellement différentes en matière de signalement des atteintes à la vie privée.

« En particulier, l’Italie a eu jusqu’à présent très peu de notifications d’infractions par rapport à sa population importante, ce qui montre que la pratique et la culture en matière de notification varient considérablement d’un État membre à l’autre « , dit-elle. « Il est important de noter que ce rapport se concentre uniquement sur les atteintes à la protection des données signalées. »

Augmentations du nombre de brèches

En décembre 2018, Information Security Media Group a rapporté que le nombre de rapports d’atteinte à la protection des données déposés depuis l’entrée en vigueur du GDPR avait atteint environ 3 500 en Irlande, plus de 4 600 en Allemagne, 6 000 en France et 8 000 au Royaume-Uni).

Le dernier décompte des notifications d’atteintes à la protection des données de l’UE ne signifie pas nécessairement qu’il y a plus d’atteintes à la protection des données qu’avant l’entrée en vigueur du GDPR, lorsque peu d’atteintes devaient être signalées. Comme Brian Honan, expert en sécurité de l’information basé à Dublin, l’a déclaré à l’ISMG : « Il n’y a pas nécessairement une augmentation du nombre de violations depuis le 25 mai, mais plutôt une meilleure visibilité sur les violations de données.

Aux États-Unis, l’Identity Theft Resource Center a constaté qu’en 2018, le nombre total d’atteintes à la protection des données signalées par les organisations aux organismes de réglementation des États et aux consommateurs concernés a diminué par rapport à 2017. Bon nombre d’organisations contrevenantes ne divulguent pas exactement quels types de données ont été exposés.

Mais pour les organisations qui l’ont fait, le Interstate Technology & Regulatory Council (ITRC) a constaté que par rapport à 2017, les atteintes en 2018 ont révélé beaucoup plus de dossiers contenant des données que les lois de l’État définissent comme étant sensibles, ce qui comprend les données des cartes de paiement, les numéros de sécurité sociale, les dates de naissance et les diagnostics médicaux (voir : moins d’atteintes en 2018, mais des données plus sensibles ont été répandues).

Notamment, cependant, les lois de l’État ne traitent pas les adresses électroniques, les noms d’utilisateur ou les mots de passe comme des données sensibles, ce qui signifie que leur seule exposition n’exigerait généralement pas d’une organisation qu’elle publie un avis de violation de données.

Faire ce qu’il faut – ou faire autrement

La RGPD, cependant, est beaucoup plus stricte, et toute organisation dans le monde qui enfreint la réglementation sur la protection de la vie privée est passible d’amendes allant jusqu’à 4 % de son chiffre d’affaires annuel global ou 20 millions d’euros – le montant le plus élevé étant retenu – ainsi que d’autres sanctions potentielles, comme la perte de leur capacité de traiter des données personnelles.

Par ailleurs, les organisations qui ne se conforment pas aux exigences de déclaration du GDPR sont également passibles d’amendes pouvant atteindre 10 millions d’euros, soit 2 % du revenu annuel mondial.

Les régulateurs européens de la protection de la vie privée affirment que la RGPD n’est pas destinée à être punitif. Faites ce qu’il faut pour remédier à un problème et vous ne serez pas puni simplement pour avoir échoué, disent-ils. De plus, le délai de 72 heures accordé à une organisation pour alerter les autorités dans le cas de certains types d’infractions n’a pas pour but de servir d’avertissement, mais plutôt d’aider les organismes de réglementation.

D’un autre côté, cependant, l’autorité de protection des données du Royaume-Uni, le Bureau du Commissaire à l’information, dit qu’elle veut voir des détails précis de ce qui s’est passé et de l’impact probable dans la fenêtre de 72 heures, plutôt que d’entendre que l’organisation violée lutte encore pour obtenir une réponse.

91 Amendes et comptages en RGPD

Déjà, les régulateurs de l’UE ont infligé des amendes au GDPR. « Jusqu’à présent, 91 amendes ont été infligées dans le cadre du nouveau régime de la RGPD », indique DLA Piper. « Les amendes infligées ne concernent pas toutes des atteintes à la protection des données personnelles. »

Par exemple, l’amende la plus lourde à ce jour – 50 millions d’euros contre Google par l’autorité française de protection des données de la CNIL – ne concernait pas une violation de données, mais plutôt le traitement de données personnelles sans autorisation.

L’Allemagne est à l’origine de 64 des amendes en RGPD qui ont été infligées jusqu’à présent, y compris les deux amendes les plus élevées résultant d’une violation de données. En novembre dernier, l’autorité allemande de protection des données du Bade-Wurtemberg, connue sous le nom de LfDI, a condamné Knuddels.de – « Cuddles » – €20,000 pour ne pas avoir haché les mots de passe enregistrés.

« En stockant les mots de passe en texte clair, l’entreprise a sciemment violé son devoir d’assurer la sécurité des données lors du traitement des données personnelles », a déclaré le LfDI dans son avis.

Le LfDI a également inscrit la deuxième amende la plus élevée du GDPR à ce jour – une amende de 80 000 € (91 000 $) infligée le mois dernier à une organisation qui a publié « des données sur la santé sur Internet », dit DLA Piper.

« Les amendes restantes sont d’un montant relativement faible, y compris une amende de 4 800 € infligée en Autriche pour l’exploitation d’un système de vidéosurveillance illégal qui a été jugé excessif pour sa surveillance partielle d’un trottoir public « , explique DLA Piper. « Chypre a également déclaré quatre amendes d’une valeur totale de 11 500 € et Malte a déclaré un total de 17 amendes, un nombre étonnamment élevé étant donné la taille relativement petite du pays. Les détails de ces affaires ne sont pas encore accessibles au public. »

DLA Piper indique que de nombreuses autorités de protection des données ont un important arriéré de rapports sur les atteintes à la protection des données, de sorte qu’un grand nombre d’organisations ayant fait l’objet d’une atteinte à la protection des données attendent toujours de savoir si elles risquent des amendes.

De nombreuses organisations continuent d’essayer de s’attaquer à la RGPD, et les organismes de réglementation continuent de publier de nouvelles lignes directrices fondées sur ce que certaines organisations ont fait de mal. Jusqu’à présent, il n’est pas encore clair si les organisations peuvent souscrire de l’assurance cybernétique pour atténuer le risque d’avoir à payer des amendes non criminelles en cas d’atteinte à la protection des données.

« Il n’en est qu’à ses débuts pour l’application de la RGPD, avec seulement une poignée d’amendes signalées dans l’ensemble de l’UE. À l’exception de la récente amende de 50 millions d’euros infligée à Google, le niveau des amendes infligées jusqu’à présent a été faible, surtout si on le compare aux amendes maximales que les régulateurs ont désormais le pouvoir d’imposer « , indique DLA Piper dans son rapport. « Cependant, nous prévoyons que 2019 verra plus d’amendes pour des dizaines et peut-être même des centaines de millions d’euros à mesure que les organismes de réglementation traiteront l’arriéré des notifications d’atteinte à la protection des données du GDPR ».

Les avantages de la conformité pour les entreprises

L’impulsion pour la RGPD reste la sauvegarde du droit à la vie privée des Européens. Et toutes les organisations qui traitent les données personnelles des Européens ne se conforment pas pleinement au RGPD.

Se conformer à la RGPD n’est pas une solution miracle pour éviter toutes les brèches, mais cela peut aider. En effet, les organisations qui se conforment à la réglementation sur la sécurité de l’information font état de nombreux avantages, selon une étude récente menée par Cisco, qui a interrogé 3 200 professionnels de la sécurité de l’information dans 18 pays sur leur RGPD et leur position générale en matière de sécurité.

« Les entreprises prêtes pour la RGPD ont… subi moins d’atteintes à la protection des données, et lorsque de telles atteintes se sont produites, moins d’enregistrements ont été touchés et le temps d’arrêt du système a été réduit « , a déclaré Cisco