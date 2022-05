Les violations de données personnelles, et notamment les piratages informatiques, ont explosé en 2021 en France. Une hausse de près de 80% par rapport à 2020, selon le rapport révélé par la Cnil, la Commission nationale de l'informatique et des libertés, ce mercredi.

PME et secteur de la santé

La commission a enregistré 5.037 notifications pour violation de données personnelles en 2021, contre 2.821 en 2020. Près de 60% d'entres elles étaient des piratages informatiques, dont les premières victimes sont les petites et moyennes entreprises, voire les petites entreprises. "Moins armées que les grandes entreprises face à cette menace, elles constituent des cibles privilégiées pour les acteurs malveillants", note la commission. Car dans trois cas sur cinq, il s'agit d'actes malveillants. Les secteurs des sciences et de la santé sont de plus en plus visés, avec des hausses respectives de 191% et 195% des saisines en un an.

"Le secteur de la santé est un secteur qui est encore relativement peu mature en termes de cyber-sécurité. Aujourd'hui, dans un hôpital, quand on a de l'argent, on va privilégier l'achat d'un nouveau scanner plutôt que d'investir dans la cyber-sécurité", note Bertrand Pailhès, le directeur des technologies et de l'innovation de la Cnil, à franceinfo.

Parmi ces piratages informatiques, "l'attaque la plus répandue reste l'attaque par rançongiciel", selon la Cnil. Il s'agit par exemple de programmes malveillants qui empêchent la victime d'accéder à ses données et lui demandent une rançon, ou encore de chantage à la divulgation de données personnelles.

Des mesures de sécurité souvent insuffisantes

Pour encourager les organismes à se mettre en conformité, la Cnil a prononcé 18 sanctions en 2021, pour un montant cumulé record de plus de 214 millions d'euros d'amende.

La moitié de ces sanctions concerne en effet "un manquement en lien avec la sécurité des données personnelles", ce qui prouve que "les mesures de sécurité prises par les organismes restent souvent insuffisantes", analyse la Commission.

La Cnil a aussi prononcé deux sanctions publiques visant le ministère de l'Intérieur. D'abord en janvier 2021, après que des drones avaient été utilisés par les forces de l'ordre pour veiller au respect des règles du premier confinement. La Commission a enjoint le ministère de cesser d'utilisation des drones sans cadre légal et en janvier 2022, une loi a finalement été promulguée pour encadrer cette pratique.

Puis en septembre 2021, le ministère de l'Intérieur a été épinglé par la Cnil car le Faed, le fichier automatisé des empreintes digitales, conservait trop longtemps ses informations et en contenait sur des personnes relaxées, acquittées ou qui avaient bénéficié d'un non-lieu.