En 2025, la CNIL a recensé 6 167 violations de données personnelles notifiées, soit 9,5 % de plus qu’en 2024. Un incident sur deux déclaré relève d’un piratage. La CNIL a prononcé 83 sanctions pour un montant total de 487 millions d’euros. Dès qu’une faille informatique touche des données personnelles, vous avez 72 heures pour notifier la CNIL.
Bonjour,
Petite précision sur votre article lorsque vous indiquez que : « Prenez un ransomware qui chiffre vos machines de production sans exfiltrer aucun fichier client. Techniquement, c’est un incident grave. Juridiquement, vous n’avez rien à déclarer à la CNIL ». Le fait qu’il n’y ait pas d’exfiltration de données n’empêche pas de caractériser l’attaque comme une violation de données. Le responsable du traitement, par exemple une société, doit garantir la disponibilité des données (cf. l’article 32 du RGPD). L’indisponibilité des données, par exemple via un chiffrement des machines, peut permettre de caractériser une violation de données (cf. l’article 4(12) du RGPD et la FAQ de la Commission européenne indiquant qu’« une violation de données survient lorsque les données dont votre entreprise/organisation est responsable subissent un incident de sécurité qui entraîne une violation de la confidentialité, de la disponibilité ou de l’intégrité. »)
Selon la situation, une déclaration à la CNIL sera nécessaire, comme ce fut le cas pour COAXIS.