Quatre mois après l’entrée en application du RGPD, la CNIL a dressé un premier bilan. Du côté des professionnels comme des particuliers, la commission parle d’une appropriation de ce nouveau cadre. En parallèle, une étude d’Europol révèle que les nouvelles obligations européennes risquent d’entrainer une hausse de la cyber-extorsion.
D’après les chiffres révélés par la CNIL, 24500 organismes ont désigné un délégué à la protection des données et plus de 600 notifications de violations de données ont été reçues, concernant environ 15 millions de personnes. Depuis le 25 mai 2018, la CNIL a également reçu 3767 plaintes de la part de particuliers. Cela représente une augmentation de 64% par rapport à l’année précédente.
Un bilan positif pour la CNIL
« L’appropriation des nouvelles règles se fait plus rapidement que ce à quoi nous nous attendions », a déclaré Isabelle Falque-Pierrotin, la présidente de la CNIL, dans un entretien accordé au journal Les Echos. Les plaintes reçues par la commission portent essentiellement « sur les obligations de transparence et le consentement », a-t-elle précisé.
La législation à l’origine d’une hausse de la cyber-extorsion ?
Europol, l’agence européenne spécialisée dans la répression de la criminalité, vient de publier sa nouvelle évaluation de la menace que représente la criminalité organisée sur l’Internet (IOCTA 2018 – En anglais). Selon ce rapport, le RGPD pourrait être à l’origine d’une hausse de la cyber-extorsion.
Payer pour ne pas divulguer les failles
La règlementation européenne impose aux entreprises de notifier toute atteinte à la protection des données. Toute violation de données est passible d’une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial. « Les entreprises piratées préfèrent payer une rançon moins élevée aux pirates pour ne pas divulguer le piratage plutôt que d’avoir à payer une lourde amende imposée par l’autorité compétente », affirment les auteurs du rapport.
Pour Europol, les entreprises qui payent les rançons demandées par les pirates informatiques ne font « que financer d’autres attaques et d’autres activités criminelles ». De son côté, la commission européenne a fait savoir qu’elle n’avait pas été consultée concernant l’enquête réalisée par Europol.