Cybersécurité et données personnelles : ce qu'il faut retenir du dernier rapport de la Cnil

Les saisies de la Cnil pour violation de données personnelles explosent en 2021, selon le dernier rapport de la Commission nationale de l'informatique et des libertés révélé en exclusivité mercredi à Radio France.  Les saisies de la Commission nationale de l'informatique et des libertés (Cnil) ont explosé en 2021 avec une hausse de près de 80% par rapport à 2020, selon le rapport de la Cnil révélé en exclusivité mercredi 11 mai par les antennes de Radio France. La commission estime que trois violations de données personnelles sur cinq sont des actes malveillants. La Cnil a enregistré 5 037 notifications de ce type en 2021, contre 2 821 en 2020, ce qui fait en moyenne près de 14 notifications par jour ou 420 par mois. Près de 3 000 de ces notifications concernent des piratages informatiques, soit 59% des violations dénoncées. Les saisines de la Cnil pour des piratages informatiques ont d'ailleurs largement augmenté entre 2020 et 2021, avec une hausse de 128%. Les rançons, les attaques les plus fréquentes Parmi ces piratages informatiques, "l'attaque la plus répandue reste l'attaque par rançongiciel", explique la Cnil, soit via l'installation de programmes malveillants qui empêchent la victime d'accéder à ses données et lui demandent une rançon, soit via le chantage à la divulgation de données personnelles. Les rançongiciels pèsent lourd : plus de 2 150 notifications reçues en 2021, soit 43% des dénonciations de violations de données personnelles. Les premières victimes de piratages sont les petites et moyennes entreprises (43%), voire les très petites entreprises (26%). "Moins armées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants", note la Commission. Les secteurs des sciences et de la santé sont de plus en plus visés, avec une hausse respective de 191% et 195% des notifications en un an. En 2021, 24% des notifications ont d'ailleurs dénoncé la compromission de données sensibles dont notamment des données de santé. "Le secteur de la santé est un secteur qui est encore relativement peu mature en termes de cyber-sécurité", note Bertrand Pailhès, le directeur des technologies et de l'innovation de la Cnil. "Aujourd'hui, dans un hôpital, quand on a de l'argent, on va privilégier l'achat d'un nouveau scanner plutôt que d'investir dans la cyber-sécurité." Le ministère de l'Intérieur sanctionné La Cnil a prononcé deux sanctions publiques visant le ministère de l'Intérieur. En janvier 2021, la Commission l'a enjoint de cesser d'utilisation des drones sans cadre légal, après que des drones ont été utilisés par les forces de l'ordre pour veiller au respect des règles du premier confinement. En janvier 2022, une loi a finalement encadré cette pratique. En septembre 2021, la Cnil a rappelé Beauvau à l'ordre sur l'utilisation du fichier automatisé des empreintes digitales, après avoir constaté des manquements à la loi Informatique et Libertés. Le Faed (fichier automatisé des empreintes digitales) conservait notamment trop longtemps et contenait des informations sur des personnes qui avaient été relaxées, acquittées ou avaient bénéficié d'un non-lieu. La Cnil a prononcé 18 sanctions liées à l'utilisation des données personnelles en 2021, pour un montant cumulé record de plus de 214 millions d'euros d'amende. "2021 est une année sans précédent, tant par le nombre de mesures adoptées que par le montant cumulé des amendes", se félicite-t-elle dans son rapport. Elle a prononcé 135 mises en demeure - contre 49 en 2020 - notamment sur la gestion des cookies sur internet, et 18 sanctions dont 15 comportaient des amendes. Quatre sanctions ont été adoptées en coopération avec des homologues européens. La moitié de ces sanctions concerne "un manquement en lien avec la sécurité des données personnelles", ce qui prouve que "les mesures de sécurité prises par les organismes restent souvent insuffisantes", analyse la commission. Les contrôles en hausse de 55% en 2021 Ces mises en demeure et sanctions résultent des 384 contrôles réalisés par la Cnil en 2021, soit 55% de plus qu'en 2020 et 28% de plus qu'en 2019. La Comission a décidé de faire ces contrôles en lien avec des informations révélées dans la presse (2%), la pandémie de Covid-19 (8%), d'initiative (22%) ou les thématiques prioritaires de la Commission (37%). Un tiers sont liés à des plaintes ou des signalements réalisés auprès de la Commission (31%). >> Vidéosurveillance, logiciels de lecture de mails, enregistreurs de claviers... Quand des entreprises "fliquent" leurs salariés en télétravailLe nombre de plaintes reçu par la Cnil est plutôt stable d'une année à l'autre, avec une hausse de 4% seulement entre 2020 et 2021. Sur les plus de 14 000 plaintes reçues par la Commission, près de 6 000 ont obtenu une réponse rapide. Les autres ont nécessité un "traitement plus approfondi", via des vérifications ou des demandes de complément d'information. 30% des plaintes concernent l'utilisation des données sur internet ou par les réseaux de télécommunication, notamment le droit à l'oubli (plus de 2 000 plaintes toutes catégories confondues). 21% de ces plaintes concernent la prospection commerciale, associative ou politique par email, SMS, courrier ou téléphone (près de 1 000 plaintes). Enfin, 18% des plaintes concernent le travail, notamment la surveillance des salariés par leur employeur via la vidéo-surveillance sur le lieu de travail.