Tine A. Larsen: «Les actes externes malveillants sont à l’origine d’un quart des violations. Ils visaient souvent l’obtention ou l’accès à des données permettant de réaliser des transactions financières à l’insu des personnes concernées.» (Photo: sdecoret)

Tine A. Larsen: «Les actes externes malveillants sont à l’origine d’un quart des violations. Ils visaient souvent l’obtention ou l’accès à des données permettant de réaliser des transactions financières à l’insu des personnes concernées.» (Photo: sdecoret)

Le règlement général sur la protection des données est entré en vigueur le 25 mai 2018 dans toute l’Union européenne. Après presque un an d’application, l’heure est venue d’établir un premier bilan pour le Luxembourg.

Chargée de veiller au respect de la vie privée, la Commission nationale pour la protection des données (CNPD) a reçu 261 notifications de violation depuis l’entrée en vigueur du RGPD. Les incidents concernent pour l’essentiel des données personnelles envoyées aux mauvais destinataires (26%) et le piratage (16%).

Les manquements observés proviennent principalement d’erreurs humaines. La CNPD relève que 62% des violations sont dus à un acte interne non malveillant. «La plupart de ces erreurs humaines se sont produites lorsqu’une procédure existante n’a pas été suivie, qu’une règle a été contournée ou après une faute d’inattention», précise , présidente de la CNPD.

«Quant aux actes externes malveillants, ils sont à l’origine d’un quart des violations. Ils visaient souvent l’obtention ou l’accès à des données permettant de réaliser des transactions financières à l’insu des personnes concernées (interception de données de cartes de paiement bancaires, phishing, usurpation d’identité, etc.).»

Près de 900 organisations ont un DPO

Jusqu’à présent, 887 organisations ont désigné un délégué à la protection des données (DPO) et communiqué leurs coordonnées. Dans la majorité des cas, la procédure de désignation s’est faite en interne. Par contre, la CNPD n’a reçu aucune demande recevable de consultation préalable dans le cadre d’une analyse d’impact relative à la protection des données (AIPD).

Pour rappel, lorsqu’une organisation identifie des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les libertés et droits des personnes, elle doit mener, pour chacun des traitements, une AIPD. S’il résulte de l’analyse un risque résiduel élevé non traité, l’organisation doit consulter la CNPD afin d’obtenir un avis sur le traitement envisagé et sa gestion des risques.

«Nous comptons dans les prochains mois communiquer davantage sur les AIPD afin de mieux soutenir les organisations dans la mise en œuvre de ces analyses», explique Tine A. Larsen.

Des demandes d’informations en augmentation

Depuis 2017, la CNPD est assaillie de demandes d’informations. Celles-ci ont doublé de 2017 à 2018, passant de 520 à 1.112. À l’occasion de l’entrée en vigueur du RGPD, la Commission nationale pour la protection des données a lancé la campagne de sensibilisation «». L’occasion d’organiser plusieurs événements et de distribuer 12.000 brochures et gadgets dans de nombreux endroits stratégiques du Grand-Duché. Un effort payant puisqu’à ce jour la CNPD n’a encore infligé aucune amende.

Articles Associés