L'ampleur des violations de données personnelles dans les entreprises et institutions françaises commence à apparaître, selon un baromètre publié jeudi par le Forum international de la cybersécurité (Fic) de Lille.
Selon ce baromètre, les notifications à la Commission nationale de l'informatique et des libertés (Cnil) de violations de données personnelles ont progressé de 25% entre le deuxième semestre 2018 et le premier semestre 2019, quand 1.035 affaires de violations ont été notifiées.
Mais "ce n'est que la partie visible de l'iceberg", et ce nombre d'incidents "est sans doute largement inférieur à la réalité", a indiqué à l'AFP Guillaume Tissier, directeur général de Compagnie européenne d'intelligence stratégique (CEIS) qui organise le Fic.
Il y a encore "pas mal d'entreprises" qui ne notifient pas les violations dont elles sont victimes, jugeant que les personnes concernées (clients, salariés, etc...), sont peu affectées, a-t-il expliqué.
D'autres entreprises ignorent encore que c'est à elles de notifier une violation de données dont elles ont la charge, même si c'est un sous-traitant qui est à l'origine de celles-ci, a-t-il expliqué.
Les notifications à la Cnil des violations de données personnelles sont obligatoires depuis mi-2018, date de l'entrée en vigueur du Règlement européen sur la protection des données (RGPD).
Selon le baromètre Fic-Bessé-PWC, sur la base de données ouvertes de la Cnil, 812.536 personnes étaient concernées par les violations notifiées au premier semestre 2019.
Un peu plus de la moitié (54%) des violations étaient dues à de la malveillance, en majeure partie (70%) du vol en ligne.
Mais 26% étaient accidentelles, comme par exemple l'envoi par erreur d'un fichier de tableur contenant des données clients.
Enfin selon le baromètre, 10,4% des données concernées par les notifications étaient des données "sensibles" (vie et orientation sexuelles, données biométriques, convictions religieuses ou philosophiques, appartenance à un syndicat, origines ethniques...).