Le 11 mai dernier la CNIL (Commission Nationale de l’Informatique et des Libertés) a publié son rapport annuel pour l’année 2021 dans lequel figurent chiffres clés, bilan d’activité et perspectives.
Bilan 2021 de la CNIL au global
Le nombre de signalements de violation de données est en hausse de 80 %, soit en moyenne 14 notifications reçues par jour. Plusieurs explications :
- Une très forte croissance des cyberattaques
- Une meilleure appropriation de l’obligation de notification
- Des notifications par vagues (lors par exemple d’un incident de sécurité dans une entreprise).
L’étude révèle que 68% des PME et micro-entreprises font l’objet de piratage informatique, et qu’elles représentent à elles-seules 70% des notifications . Par conséquent, la sécurité dans ce type de structures est un enjeu crucial pour lutter contre la cybercriminalité.
Tous les secteurs d’activité sont concernés
Quatre secteurs représentent cependant 60% des notifications reçues :
- « Activités spécialisées, scientifiques et techniques » (21%)
- « Secteur de la santé humaine et de l’action sociale » (18%)
- « Administrations publiques » (12%)
- « Secteur financier et assurance » (10%)
Les deux premiers secteurs connaissent les plus fortes progressions de notifications (+191% et +195%) en 1 an, ce qui signifie que les notifications ont triplé de 2020 à 2021 sur ces secteurs.
NB : les données de santé concernent presque un quart des notifications reçues en 2021.
Selon l’étude, il apparaît que 24% des notifications effectuées en 2021 font état de la compromission de données sensibles, parmi lesquelles figurent les données de santé (23% des notifications reçues en 2021).
La cybersécurité : prévention et contrôles
En 2022 la CNIL a rejoint le « Campus Cyber », qui rassemble les principaux acteurs de l’écosystème cyber en France. Les quatre piliers du Campus cyber sont les suivants :
- Favoriser le partage des données afin de donner à chacun la capacité de maitriser le risque numérique
- Former le plus de personnes pour favoriser une montée en compétences globale
- Développer des synergies entre acteurs pour orienter l’innovation technologique et renforcer son intégration
- Animer des évènements pour encourager les échanges et découvrir des évolutions.
Des contrôles ont été effectués, avec pour objectif d’évaluer le niveau de sécurité des sites web français les plus visités dans différents secteurs, aussi bien privés que publics.
Dans ce cadre, trois séries de vérifications en lien avec la sécurité des données ont été menées:
- Robustesse du chiffrement des données en transit sur internet par l’analyse des versions du protocole TLS mises en place, la conformité du certificat et des suites cryptographiques autorisées par les serveurs des sites contrôlés.
- Sécurisation de l’accès aux comptes utilisateur à travers l’évaluation de la robustesse des mots de passe, de leur procédure de renouvellement, des modalités de transmission et conservation, et des mesures de traçabilité mises en œuvre.
- Mesures mises en place face aux rançongiciels à la suite de violations de données. Une attention particulière a été portée sur les dispositifs de détection des consultations anormales et des accès non autorisés.
Sécurité des données de santé
La CNIL a mené 30 nouvelles missions de contrôle dans le domaine de la santé (laboratoires d’analyses médicales, hôpitaux, prestataires, data brokers en données de santé), et plus précisément sur la question de la sécurité des données de santé.
Boite à outils : un guide dédié pour les entrepôts de données de santé
De nouveaux outils d’accompagnement viennent compléter le dispositif existant. Ils prennent souvent la forme de référentiels. En 2021 des guides ont été publiés concernant les entrepôts de données de santé. Ils sont à destination des responsables de traitement, délégués à la protection des données ainsi qu’à l’ensemble des acteurs concernés.
Bon à savoir :
Un référentiel constitue un cadre de référence permettant de mettre en conformité des traitements de données. C’est un guide pratique avec pour but d’éclairer les différents acteurs, mais en aucun cas une règlementation. Les données listées dans ces référentiels ne sont pas exhaustives.
A lire aussi : Données en santé : un entrepôt de données agréé par la CNIL
« Bac à sable » données personnelles, projet de l’année 2021 de la CNIL
Chaque année, la CNIL met en place des bacs à sable pour accompagner des projets innovants sur une thématique donnée. comme, au titre de l’année 2021 par exemple, les données personnelles, et les données en santé. C’est ainsi que quatre projets ont pu intégrer ce bac à sable en 2021 :
- le projet du CHU de Lille et de l’INRIA concernant « l’apprentissage fédéré » en intelligence artificielle appliquée aux études cliniques.
- le projet de la start up Resilience développant une solution d’aide au diagnostic en oncologie
- le projet Magellan du bureau d’études Clinityx visant à construire des indicateurs statistiques de description des populations en recherche médicale à partir des données du système national des données de santé (SNDS).
- le projet Vertexa du Centre hospitalier d’Arras proposant une solution de réalité virtuelle à visée thérapeutique pour lutter contre les troubles de l’alimentation des mineurs.
Pour l’année 2022, la thématique sera l’éducation.
Sources : AEF info | CNIL