RGPD et CNIL : bilan des 5 années de protection des données personnelles en France

Depuis mai 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) est responsable de l’application du Règlement Général sur la Protection des Données (RGPD) en France. Cette législation phare de l’Union Européenne vise à protéger les données personnelles des citoyens, notamment face aux risques liés aux activités de piratage informatique. La CNIL veille au respect des droits des personnes sur leurs données personnelles comme le droit à l’oubli, le droit d’accès ou encore le droit à l’information sur les failles de sécurité. Près de cinq ans après l’entrée en vigueur du RGPD, il est temps de dresser un bilan des actions menées par la CNIL et des résultats obtenus.

Augmentation des incidents relatifs aux données personnelles depuis 2018

Selon un rapport publié par la CNIL le 27 mars 2024, 17 483 notifications de violations de données personnelles ont été recueillies entre mai 2018 et mai 2023 . Ces chiffres soulignent une tendance croissante des atteintes aux données personnelles enregistrées auprès de la CNIL. Le rapport démontre également que la majorité des plaintes proviennent du secteur privé et sont liées à des activités de piratage telles que le ransomware, les attaques par hameçonnage ou encore les atteintes aux systèmes informatiques.

Les violations des différents droits des personnes concernant leurs données personnelles résultent souvent d’erreurs humaines (utilisation de mots de passe faibles, absence de mises à jour, etc.) ou d’attaques malveillantes visant à accéder illégalement à des informations sensibles. Parmi les incidents les plus courants, on note :

• Les fuites de données suite à l’envoi d’e-mails non sécurisés ou contenant des pièces jointes infectées,
• Le vol d’identifiants et de mots de passe lors d’intrusions dans les serveurs,
• L’exposition accidentelle de données sensibles sur Internet en raison de mesures de sécurité insuffisantes ou inexistantes.

Rôle des entreprises et administrations pour assurer la protection des données personnelles

Pour assurer une protection efficace des données personnelles, les entreprises et administrations doivent se conformer strictement au RGPD. Cela implique la mise en place d’une politique de sécurité adaptée, définissant des règles claires pour la collecte, le traitement et le stockage des données afin de minimiser les risques de failles. Il est important d’informer et de sensibiliser l’ensemble des collaborateurs sur les enjeux de la protection des données, afin qu’ils adoptent les bons réflexes pour éviter les incidents. Des audits de sécurité réguliers doivent être effectués pour détecter les vulnérabilités et y remédier avant qu’elles ne conduisent à des violations de données.

Bilan positif pour la CNIL, mais une vigilance toujours nécessaire

Si le nombre de notifications de violations de données personnelles a augmenté depuis 2018, cela peut également s’expliquer par une meilleure sensibilisation des entreprises et des citoyens aux risques liés aux données personnelles. La CNIL a ainsi joué un rôle clé dans la prise de conscience collective de ces enjeux, en rappelant constamment les principes du RGPD et en sanctionnant les manquements lorsqu’ils étaient avérés.

Toutefois, il ne faut pas baisser la garde : la protection des données personnelles reste un combat quotidien pour préserver les libertés individuelles et garantir la confiance numérique de tous. Les autorités, les entreprises et les citoyens doivent trouver ensemble des solutions pour renforcer la sécurité des informations personnelles et assurer un équilibre entre innovation technologique et respect des droits fondamentaux de chaque personne.