Quelles sont les grandes tendances d'atteinte aux données personnelles en 2021? Nous avons analysé le rapport d'activités 2021 de la Comission nationale de l'informatique et des libertés pour le découvrir. Retrouvez 7 faits marquants dans notre infographie, Bonne consultation.

Quelles sont les grandes tendances d’atteinte aux données à caractère personnel en 2021 ?

 

Nous avons analysé le tout récent rapport annuel du régulateur, la Commission nationale de l’informatique et des libertés – CNIL, paru ce 11 mai 2022. Quatre ans après l’entrée en application du Règlement général sur la protection des données – RGPD, l’activité 2021 se caractérise par :

Dans son 42e rapport d’activité, la CNIL revient sur son bilan de l’année 2021, marqué par une action répressive dissuasive renforcée.

Caractérisée par : 

  • une hausse tangible du nombre de contrôles réalisés, passant de 247 en 2020 à 387 en 2021 (+56%).
  • une hausse de +55% du montant des sanctions financières. 15 amendes s’établissent à un montant total de 214 millions d’euros (contre 138 millions d’euros en 2020), en forte hausse de +76 millions d’euros (soit +55%).

 

Les violations de données notifiées ressortent en très forte progression dans le rapport.

Selon la CNIL, cette tendance est portée principalement par le piratage informatique, toujours en forte progression dans les entreprises.

Toujours selon la CNIL, une autre explication se trouve dans l’appropriation des déclarations obligatoires des cyberincidents est en marche  chez les responsables de traitement. Ils prennent conscience qu’ils doivent améliorer leur détection d’incident, mais aussi mettre en place les procédures de qualifications et de gestion d’incidents de violations de données.

Troisième explication : le rapport de la CNIL énonce les cas de notifications par vague, résultant de 2 cyberincidents majeurs connus chez 2 sous-traitants avec des impacts de notifications importants chez leurs nombreux clients (responsables de traitements) :

  • Respectivement l’incendie en mars 2021 du data center  d’un hébergeur de données.
  • Puis la fuite massive (0,5 million de patients concernés) des données de santé d’un laboratoire d’analyses médicales.

Selon le rapport de la CNIL, la part des violations de données de santé notifiées en 2021 représente 18% du total des violations notifiées.

Pour rappel, les données de santé font l’objet d’un encadrement particulier par la loi RGPD et sont qualifiées sensibles, suivant une définition très large comprenant par exemple :

  1. les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;
  2. les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;
  3. les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

 

 

Plusieurs autres enseignements sont à tirer. Inspirez-vous de ces enseignements pour remettre à plat toutes vos actions de conformité au RGPD. C’est le moment !

Retrouvez notre synthèse dans l’infographie en version téléchargeable.

 

 

 📂 Documents de référence

Partager cette publication à un collègue ou une connaissance

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience