Après la publication par la CNIL des chiffres liés aux notifications de violations de données à caractère personnel sur https://www.data.gouv.fr/, voici les informations que j’ai jugé utile de relevé et de faire figurer sur des graphiques pour que cela soit plus lisible.
Ce qui est marquant concernant ces notifications, c’est leur grand nombre et ce en quelques mois: 1650 au total en moins d’un an.
Lorsqu’on analyse ce graphique, nous voyons que quasiment tous les secteurs d’activités ont connu des fuites de données et que les entreprises prennent en compte de notifications des cas de violations de données personnelles.
Quasiment plus de 1000 notifications indiquent une cause externe malveillante soit environ 60%
L’accès illégitime représente plus de 85% de la nature de violation
Nous constatons que l’obligation de notifications en cas de violations de données, auprès de la CNIL commencent à entrer dans les bonnes pratiques des entreprises et il faut encourager cela.
Il faut également inciter encore plus les entreprises à aller vers la conformité au RGPD afin de mieux sécuriser leurs données car malheureusement les menaces ne cessent d’augmenter.
Sources: Open Data de la CNIL sorti en mai 2019
Article écrit par Chafik MOHAMED, Consultant en sécurité informatique et RGPD
Voici une carte interactive de la protection des données personnelles dans le monde. Elle pour objectif de bien comprendre le niveau de protection et les différentes lois appliquées dans chaque pays afin de vous aider sur le process de mise en conformité au RGPD.
La carte n’est pas encore complètement finie. Elle le sera très prochainement.
Cette carte comporte ou comportera les éléments suivants:
Merci pour votre compréhension et n’hésitez pas à me faire votre retour
Un groupe de travail composé de RSSI et DPO du CLUSIF (le Club de la sécurité de l’information français) a élaboré une infographie du RGPD afin d’aider à mieux comprendre les différents process et la portée de la réglementation.
Cliquez sur l’image pour télécharger le pdf
Voici l’arbre de décision mise en place par la CNIL, qui doit permettre au DPO ( Data Privacy Officer ou Délégué à la protection des données) de qualifier un incident afin de déterminer l’autorité ou les autorités compétentes qui doivent recevoir la notification (initiale et complémentaire).
Je rappelle qu’en cas en de violation de données personnelles, il faut « documenter » l’incident, c’est-à-dire tenir un registre interne dans lequel seront consignés les faits concernant la violation, ses effets et les mesures prises pour y remédier La CNIL mettra dans les mois qui viennent, un téléservice permettant de faire cette notification
A bientôt pour d’autres fiches sur la notification d’incident dans le cadre du RGPD.