---
title: "Retour sur l’actualité récente de la CNIL en matière de sécurité des données : que faut-il retenir ?"
id: "3094"
type: "post"
slug: "retour-sur-lactualite-recente-de-la-cnil-en-matiere-de-securite-des-donnees-que-faut-il-retenir"
published_at: "2024-03-28T16:28:32+00:00"
modified_at: "2026-03-03T09:52:45+00:00"
url: "https://augustdeboustg.wpenginepowered.com/article-juridique/retour-sur-lactualite-recente-de-la-cnil-en-matiere-de-securite-des-donnees-que-faut-il-retenir/"
markdown_url: "https://augustdeboustg.wpenginepowered.com/article-juridique/retour-sur-lactualite-recente-de-la-cnil-en-matiere-de-securite-des-donnees-que-faut-il-retenir.md"
taxonomy_category:
  - "Article"
taxonomy_language:
  - "Français"
taxonomy_tax_expertise:
  - "Données personnelles et cybersécurité"
---

Menu          Interagir avec notre IA

 Expertises (66) Transactionnel- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Commande publique](https://augustdeboustg.wpenginepowered.com/expertise/commande-publique/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Contrats commerciaux et internationaux](https://augustdeboustg.wpenginepowered.com/expertise/contrats-commerciaux-et-internationaux/)
- [Contrôle des investissements étrangers](https://augustdeboustg.wpenginepowered.com/expertise/controle-des-investissements-etrangers/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Financement](https://augustdeboustg.wpenginepowered.com/expertise/financement/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Fusions-acquisitions](https://augustdeboustg.wpenginepowered.com/expertise/fusions-acquisitions/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/expertise/immobilier-et-construction/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Marchés de capitaux](https://augustdeboustg.wpenginepowered.com/expertise/marches-de-capitaux/)
- [Private equity](https://augustdeboustg.wpenginepowered.com/expertise/private-equity/)
- [Projets et Infrastructure](https://augustdeboustg.wpenginepowered.com/expertise/projets-et-infrastructure-2/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Restructuring](https://augustdeboustg.wpenginepowered.com/expertise/restructuring/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Résolution des litiges- [Actions de groupe](https://augustdeboustg.wpenginepowered.com/expertise/actions-de-groupe/)
- [Arbitrage et MARD](https://augustdeboustg.wpenginepowered.com/expertise/arbitrage-et-mard/)
- [Contentieux administratifs et publics](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-administratifs-et-publics-2/)
- [Contentieux boursiers](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-boursiers/)
- [Contentieux brevets](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-brevets/)
- [Contentieux commercial et corporate](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-commercial-et-corporate-2/)
- [Contentieux constitutionnels](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-constitutionnels-2/)
- [Contentieux de la concurrence](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-concurrence-consommation-et-distribution/)
- [Contentieux du droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-du-droit-du-travail-et-de-la-securite-sociale-2/)
- [Contentieux environnementaux et ESG](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-environnementaux-et-esg-2/)
- [Contentieux européens](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-europeens/)
- [Contentieux fiscaux](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-fiscaux/)
- [Contentieux immobiliers, construction et urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-immobiliers-construction-et-urbanisme/)
- [Contentieux produits défectueux et assurance](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-produits-defectueux-et-assurance/)
- [Contentieux propriété intellectuelle, média et presse](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-propriete-intellectuelle-media-et-presse/)
- [Contentieux tech, digital et data](https://augustdeboustg.wpenginepowered.com/expertise/contentieux-tech-digital-et-data/)
- [Droit pénal des affaires et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/droit-penal-des-affaires-et-enquetes/)
- [Procédures collectives](https://augustdeboustg.wpenginepowered.com/expertise/procedures-collectives/)

Conseil- [Brevets](https://augustdeboustg.wpenginepowered.com/expertise/brevets-2/)
- [Consommation, Marketing & Publicité](https://augustdeboustg.wpenginepowered.com/expertise/distribution-et-consommation-2/)
- [Droit des assurances](https://augustdeboustg.wpenginepowered.com/expertise/droit-des-assurances/)
- [Droit du travail et de la sécurité sociale](https://augustdeboustg.wpenginepowered.com/expertise/droit-du-travail-et-de-la-securite-sociale/)
- [Fiscalité](https://augustdeboustg.wpenginepowered.com/expertise/fiscalite/)
- [Gouvernance et Droit des sociétés](https://augustdeboustg.wpenginepowered.com/expertise/gouvernance-et-droit-des-societes-2/)
- [Ingénierie Contractuelle & Partenariats](https://augustdeboustg.wpenginepowered.com/expertise/ingenierie-contractuelle-partenariats/)
- [Intelligence artificielle](https://augustdeboustg.wpenginepowered.com/expertise/intelligence-artificielle/)
- [Private Clients](https://augustdeboustg.wpenginepowered.com/expertise/private-clients/)
- [Propriété intellectuelle](https://augustdeboustg.wpenginepowered.com/expertise/propriete-intellectuelle/)
- [Supply Chain, Distribution & Réseaux](https://augustdeboustg.wpenginepowered.com/expertise/supply-chain-distribution-reseaux-2/)
- [Tech et digital](https://augustdeboustg.wpenginepowered.com/expertise/tech-et-digital/)

Réglementaire- [Actifs numériques et cryptoactifs](https://augustdeboustg.wpenginepowered.com/expertise/actifs-numeriques-et-cryptoactifs/)
- [Compliance et enquêtes](https://augustdeboustg.wpenginepowered.com/expertise/compliance-et-enquetes/)
- [Concurrence, régulation européenne et FDI](https://augustdeboustg.wpenginepowered.com/expertise/concurrence-et-aides-detat-2/)
- [Conformité et sécurité des produits](https://augustdeboustg.wpenginepowered.com/expertise/conformite-et-securite-des-produits/)
- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/expertise/donnees-personnelles-et-cybersecurite/)
- [Droit boursier](https://augustdeboustg.wpenginepowered.com/expertise/droit-boursier/)
- [Droit de l’environnement et de l’urbanisme](https://augustdeboustg.wpenginepowered.com/expertise/droit-de-lenvironnement-et-de-lurbanisme/)
- [Droit européen](https://augustdeboustg.wpenginepowered.com/expertise/droit-europeen-2/)
- [Droit public](https://augustdeboustg.wpenginepowered.com/expertise/droit-public/)
- [ESG](https://augustdeboustg.wpenginepowered.com/expertise/esg-2/)
- [International Trade](https://augustdeboustg.wpenginepowered.com/expertise/international-trade/)
- [Régulation numérique et technologique](https://augustdeboustg.wpenginepowered.com/expertise/regulation-numerique-et-technologique/)
- [Sanctions internationales et contrôle des exportations](https://augustdeboustg.wpenginepowered.com/expertise/sanctions-internationales-et-controle-des-exportations/)

  Secteurs (13) - [Aéronautique et Défense](https://augustdeboustg.wpenginepowered.com/secteur/aeronautique-et-defense/)
- [Banque et Finance](https://augustdeboustg.wpenginepowered.com/secteur/1704/)
- [Data Centers](https://augustdeboustg.wpenginepowered.com/secteur/data-centers/)
- [Energie](https://augustdeboustg.wpenginepowered.com/secteur/energie/)
- [Immobilier et Construction](https://augustdeboustg.wpenginepowered.com/secteur/immobilier-et-construction/)
- [Industrie](https://augustdeboustg.wpenginepowered.com/secteur/industrie/)
- [Infrastructures](https://augustdeboustg.wpenginepowered.com/secteur/infrastructures/)
- [Luxe – Retail](https://augustdeboustg.wpenginepowered.com/secteur/luxe-retail/)
- [Médias](https://augustdeboustg.wpenginepowered.com/secteur/medias/)
- [Santé et Sciences de la vie](https://augustdeboustg.wpenginepowered.com/secteur/sante-et-sciences-de-la-vie/)
- [Sport](https://augustdeboustg.wpenginepowered.com/secteur/sport/)
- [Tech & Digital](https://augustdeboustg.wpenginepowered.com/secteur/tech-digital/)
- [Télécoms](https://augustdeboustg.wpenginepowered.com/secteur/telecoms/)

Cet article résumé en une minute avec l’IA

**> La CNIL dresse un bilan chiffré des violations de données qui lui ont été notifiées ces dernières années**

Liens vers les bilans :

[https://www.cnil.fr/fr/violations-de-donnees-personnelles-bilan-de-5-annees-de-rgpd](https://www.cnil.fr/fr/violations-de-donnees-personnelles-bilan-de-5-annees-de-rgpd)
  
[https://www.cnil.fr/sites/cnil/files/2024-03/cnil_plaquette_cybersecurite_vd_version_web_0.pdf](https://www.cnil.fr/sites/cnil/files/2024-03/cnil_plaquette_cybersecurite_vd_version_web_0.pdf)

La sécurité des données est un enjeu majeur en matière de protection des données. La CNIL vérifie quasiment systématiquement lors de ses contrôles les mesures de sécurité mises en œuvre par les organismes et notamment (i) leur politique de mots de passe (à noter que cette dernière doit être conforme avec la [délibération n° 2022-100 du 21 juillet 2022 portant adoption d’une recommandation relative aux mots de passe et autres secrets partagés](https://www.cnil.fr/sites/cnil/files/atoms/files/deliberation-2022-100-du-21-juillet-2022_recommandation-aux-mots-de-passe.pdf)
), (ii) la sécurisation des bases de données et du réseau et (iii) l’existence d’un registre de violations des données (conformément à l’obligation prévue à l’article 33, paragraphe 5 du RGPD). **En 2023, un tiers des sanctions prononcées par la CNIL visait des manquements à l’obligation de sécurité des données personnelles**.

Les chiffres à retenir :

- **17 483 notifications de violations de données reçues**depuis l’entrée en vigueur du RGPD jusqu’en mai 2023, ce chiffre étant en constante augmentation (4 668 notifications en 2023 et 4 088 en 2022).

A noter cependant que ce chiffre ne reflète qu’une partie des incidents de sécurité qui se produisent en France puisqu’il ne concerne que les incidents de sécurité pour lesquels (i) les entreprises ont fait le choix de procéder à une notification à la CNIL, (ii) impliquant des données personnelles et (iii) étant susceptibles d’engendrer un risque pour les personnes concernées (conditions de l’obligation de notification à la CNIL).

- **Les deux tiers de ces notifications proviennent du secteur privé** avec en tête les activités qui traitent une quantité importante de données personnelles, à savoir (i) les activités spécialisées (terme utilisé par la CNIL sans autre explication), scientifiques et techniques, (ii) les activités financières et d’assurance et (iii) les activités en lien avec la santé humaine.

- **La moitié de ces notifications est liée à un piratage** (en 2023, cela représentait 60% du total des notifications adressées) avec en tête les **rançongiciels** (en 2023, cela représentait 22% du total des notifications adressées), puis les **attaques par hameçonnage**.

Les autres sources de violation des données les plus fréquentes sont les équipements perdus ou volés, les envois indus et les publications non volontaires.  
 La sensibilisation des employés aux enjeux de sécurisation des données personnelles est donc primordiale.

- **La moitié des violations est constatée en moins de 10 heures à compter de la survenance**.

- **La moitié des notifications est réalisée par les organismes 72 heures au plus tard après en avoir pris connaissance** (ce délai est celui prévu à l’article 33, paragraphe 1 du Règlement général sur la protection des données).

- **La conséquence la plus fréquente des violations notifiées est la perte de la confidentialité des données** (intrusion par un tiers qui prend connaissance des données et peut éventuellement les copier).

La CNIL considère qu’il est préférable de notifier la violation dans le délai de 72 heures même si l’organisme ne dispose pas de tous les éléments et de compléter la notification voire même de la supprimer (dans le cas où la violation n’est finalement pas avérée) par la suite. Pour ce faire, le formulaire de notification en ligne de la CNIL propose deux options :

- *La notification initiale* qui permet de répondre à l’ensemble des questions du formulaire tout en ayant la possibilité de compléter ou modifier les réponses en réalisant par la suite une notification complémentaire / modifiée, et
- *La notification complète* qui permet de répondre de manière définitive à l’ensemble des questions du formulaire. Elle doit être choisie lorsque le responsable du traitement dispose de l’ensemble des informations qui doivent être portées à la connaissance de la CNIL ce qui est rarement le cas lorsque la violation vient d’être découverte.

A la suite d’une notification d’une violation, il peut arriver que la CNIL prenne contact avec l’organisme pour vérifier que des mesures ont été prises préalablement et / ou postérieurement à la violation et pour recommander le cas échéant à l’organisme d’informer les personnes de la survenance de la violation. En effet, dans le traitement des notifications, la CNIL indique qu’elle privilégie un accompagnement des acteurs.

****> La** CNIL met à jour son guide de la sécurité des données personnelles**

Lien vers le guide :   
[https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf](https://www.cnil.fr/sites/cnil/files/2024-03/cnil_guide_securite_personnelle_2024.pdf)

Troisième version du guide depuis l’entrée en vigueur du Règlement général sur la protection des données, la version de 2024 contient 5 nouvelles fiches : (i) le cloud, (ii) les applications mobiles, (iii) l’intelligence artificielle (conception et apprentissage), (iv) les interfaces de programmation applicative et (v) le pilotage des données.

Pour rappel, il est important de prendre connaissance de ce guide et de respecter les précautions élémentaires qui y sont indiquées puisque la CNIL l’utilise comme référence pour apprécier, lors de ses contrôles, la conformité des mesures techniques et organisationnelles implémentées par les sociétés pour sécuriser leurs traitements de données personnelles.

Partager l’article

- Linkedin
- Copier le lien

Cet article résumé en une minute avec l’IA

### Auteurs

2

- [Florence Chafiol](https://augustdeboustg.wpenginepowered.com/collaborateur/florence-chafiol/)
- [Alexandra Antalis](https://augustdeboustg.wpenginepowered.com/collaborateur/alexandra-antalis/)

### Expertise

1

- [Données personnelles et cybersécurité](https://augustdeboustg.wpenginepowered.com/tax-expertise/donnees-personnelles-et-cybersecurite/)

## Découvrir d’autres contenus *qui pourraient vous intéresser*

Actualités

[09/03/26 Article 13 min Le secret médical à l’épreuve des cyberattaques : réflexions autour du cas Cegedim Santé Découvrir](https://augustdeboustg.wpenginepowered.com/article-juridique/le-secret-medical-a-lepreuve-des-cyberattaques-reflexions-autour-du-cas-cegedim-sante/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe Énergétique – Stratégie mondiale de transferts de données Conseil à un leader du secteur de l'énergie dans la définition d'une stratégie internationale de transferts de données conforme au RGPD, incluant l’analyse des BCR et la structuration des responsabilités entre entités européennes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-energetique-strategie-mondiale-de-transferts-de-donnees/)
[19/02/26 Données personnelles et cybersécurité 0 min Groupe de Services à l’Environnement – Gouvernance et conformité RGPD Conseil à un groupe de services à l'environnement sur la mise en œuvre de sa gouvernance RGPD : rédaction de modèles contractuels, gestion des droits d'accès, qualification des rôles et harmonisation des pratiques internes. Découvrir](https://augustdeboustg.wpenginepowered.com/business-case/groupe-de-services-a-lenvironnement-gouvernance-et-conformite-rgpd/)