Violaciones de datos: la CNIL da la voz de alarma, y nosotros también.
Hace dos semanas, un ejecutivo me llamó presa del pánico. Uno de sus proveedores de servicios acababa de sufrir un ciberataque. Sus archivos de clientes, que él creía bien protegidos con un proveedor SaaS "certificado", estaban expuestos. La primera pregunta que me hizo fue: "Bueno, ese es su problema, ¿no?". Pues no. También es el suyo. Y esa es precisamente una de las principales conclusiones del informe anual publicado por la CNIL 18 de mayo: fugas de datos La cadena de subcontratación casi siempre está presente en la ecuación.
6.167 notificaciones de violación de datos registrado en 2025. Un récord. 9,5 % más que en 2024, y el primer trimestre de 2026 ya sigue la misma tendencia con 2.730 incidentes. Detrás de estas cifras hay millones de franceses afectados, empresas sacudidas y un claro mensaje de Marie-Laure Denis, presidenta de la CNIL : allá ciberseguridad La del Estado, así como la de las empresas, está "lejos de ser satisfactoria".
En resumen
- Récord absoluto de violaciones de datos En Francia en 2025: 6.167 notificaciones, +9,5 % en un año, y el primer trimestre de 2026 confirma la tendencia.
- EL fugas de datos Son proyectos cada vez más complejos, con la administración pública a la cabeza, y muy a menudo involucran a un proveedor de servicios.
- La evaluación y el marco contractual de la Subcontratista del RGPD se han convertido en una obligación primaria: una DPA El cumplimiento normativo, las auditorías y el seguimiento son la base.
- autenticación multifactor (Máster en Bellas Artes) es ahora la medida que el CNIL espera por defecto. En 2026, 50 de sus controles se centrarán en el ciberseguridad.
- Un procedimiento de notificación de infracción probado, la actualización de registro de actividades de procesamiento y la realización de AIPD Marcan la diferencia en el gran día.
- El cumplimiento no se demuestra con intenciones, sino con documentos: así son las cosas.responsabilidad.
Lo que dice (realmente) el informe anual de la CNIL.
Violaciones "cada vez más masivas"
El informe no solo cuantifica, sino que ofrece una visión clara. Alrededor de cuarenta incidentes en 2025 afectaron a más de un millón de personas cada uno, diez más que en 2024. La administración pública encabeza la lista con 19 millones de incidentes reportados, seguida por la sanidad, los servicios sociales y, por último, las actividades financieras y de seguros. Y eso no es todo: esta cifra ni siquiera incluye los ciberataques contra el software de Weda y Harvest, que por sí solos generaron más de 11.600 notificaciones a clientes. Un solo incidente en la cadena de suministro, miles de empresas afectadas. Eso lo dice todo.
Tres lecciones que deben aprenderse
Allá CNIL Surgen tres observaciones clave que todo líder debería escribir de forma destacada en el consejo del comité ejecutivo. Primero: nadie se libra. Federaciones deportivas, cadenas hoteleras, compañías de seguros mutuos, autoridades locales, pymes y grandes corporaciones: la amenaza ya no tiene un perfil típico. Segundo: la fugas de datos Se refieren a volúmenes cada vez más considerables. En tercer lugar, y aquí es donde el tema se relaciona con nuestros artículos anteriores: estos incidentes a menudo involucran a proveedores de servicios. Subcontratista del RGPD se ha convertido en el vínculo más expuesto.
El método de los atacantes se está volviendo habitual.
El pirateo informático representa la mitad de todos los incidentes denunciados. Detrás de esta palabra se esconde toda una serie de problemas: ransomware, phishing, robo de credencialesrobo de cuentas de usuario legítimas. Además, 13 de los incidentes se deben a que se copió a un destinatario incorrecto en un correo electrónico, 7 a la pérdida de hardware y 7 a publicaciones accidentales. En resumen, el error humano sigue siendo un factor importante. Y luego está la IA generativa, que, en palabras del presidente de la CNILEl caso ANTS, en el que un menor de 15 años —"no un niño prodigio", especificó el fiscal— está implicado tras el pirateo informático de la agencia de documentos seguros, es una demostración escalofriante de ello.
Por qué sus subcontratistas siguen estando en el centro del problema.
Cuando un proveedor de servicios fracasa, sus clientes fracasan con él.
Volvamos al caso de los programas Weda y Harvest. Se trató de dos ciberataques, pero la autoridad recibió 11.600 notificaciones. Esto se debe a que, en cada caso, detrás del desarrollador del software hay cientos de consultorios médicos y cientos de asesores de gestión patrimonial que también se ven afectados. controlador de datos y deben informar la fuga a sus propios clientes. Este es exactamente el escenario del subcontratista Mobius/Deezer que CNIL Se le impuso una multa de un millón de euros a finales de 2025, solo que aquí el coste se multiplica. Un ataque, mil víctimas profesionales, millones de personas afectadas.
La evaluación preliminar: su mejor (y única) protección
El RGPD no deja lugar a dudas: controlador de datos "solo utiliza subcontratistas que ofrecen garantías suficientes". Esta obligación, establecida en el artículo 28, párrafo 1, no es una ilusión. Es lo que los inspectores buscarán. Específicamente, ¿envía un cuestionario de evaluación a cada proveedor de servicios? ¿Pregunta sobre su política de seguridad, su registro de actividades de procesamiento, el nombre de su OPD¿Sus certificaciones? ¿Ha identificado sus transferencias de datos ¿Fuera de la UE? Si la respuesta a cualquiera de estas preguntas es "eh", ya tienes tu primera prioridad operativa.
El contrato por sí solo no es suficiente, ni tampoco la auditoría, pero ambos juntos, sí.
A Acuerdo de subcontratación del RGPD bien escrito, es decir, un DPA Reiterar las ocho cláusulas obligatorias del artículo 28 §3 es el punto de partida. No el objetivo final. La gestión a largo plazo también es esencial: auditorías anuales, revisiones de subcontratistas posteriores, seguimiento de medidas técnicas y organizativas aplicado eficazmente. Para estructurar este enfoque, el Módulo de subcontratistas de Viqtor Centraliza evaluaciones, contratos, auditorías e historial de transacciones en un único repositorio. Este es el tipo de evidencia que un controlador CNIL Me encantaría verlo.
¿Están actualizados los contratos y las evaluaciones de sus subcontratistas? Obtén información de un experto de Viqtor.
Lo que el gobierno está haciendo y lo que usted debería hacer a su vez.
200 millones de euros y una nueva autoridad digital
A finales de abril, el primer ministro Sébastien Lecornu dio a conocer su plan: 200 millones de euros para reforzar el ciberseguridad del Estado, fusión de la dirección interministerial de asuntos digitales y la de transformación pública para crear una autoridad digital adscrita a la oficina del Primer Ministro. A continuación, laANSSI ha publicado nuevas directrices para los ministerios: cada uno debe nombrar un asesor. ciberseguridadEsto no es insignificante. Cuando el Estado se reorganiza a este nivel, significa que considera que la situación es crítica. Sin embargo, en esta cadena, los departamentos gubernamentales subcontratan gran parte de sus servicios, y cada proveedor representa un posible punto de entrada.
Autenticación multifactor: la medida que podría haber evitado muchas tragedias.
Allá CNIL recalca un mensaje simple: la mayoría de los ataques importantes recientes podrían haberse evitado con un autenticación multifactor correctamente desplegado. El Máster en Bellas ArtesEs este doble factor el que hace que gran parte de las técnicas resulten ineficaces. relleno de credenciales y phishingLa autoridad publicó su recomendación ya en marzo de 2025, lo que permitió a las organizaciones tener tiempo para adaptarse, y ahora está anunciando controles específicos. En 2026, el 50% de las acciones de cumplimiento se centrarán en la ciberseguridad, en comparación con un cuarto a un tercio en 2025. Para las bases que albergan a más de un millón de personas, los chequeos serán una prioridad.
Algunos proyectos concretos que se pondrán en marcha esta semana.
Sin sobrecargar a los equipos, existen algunas medidas que se pueden tomar rápidamente y que marcan una verdadera diferencia en caso de incidente. Esto es lo que recomiendo a mis clientes ejecutivos cuando me preguntan por dónde empezar.
- Activar el Máster en Bellas Artes en todas las cuentas privilegiadas y en el acceso a herramientas que contienen datos personales.
- Actualiza tu lista de subcontratistas, verifica que cada uno tenga una DPA firmados, e identificar a quienes los llevan a cabo transferencias de datos fuera de la UE.
- Prueba tu procedimiento notificación de infracción ¿Quién notifica a quién? ¿Puedes rastrear la cadena de eventos hasta...? CNIL dentro del plazo legal de 72 horas ?
- Documentar un AIPD (análisis de impacto) para sus tratamientos de alto riesgo: ese es el otro punto que el CNIL controles sistemáticos.
- Eche otro vistazo rápido a su registro de actividades de procesamiento : rara vez está tan actualizado como uno podría pensar.
¿Y qué ocurre después de la fuga? La gestión de incidentes, donde todo depende.
Las primeras 72 horas deciden el resto.
Cuando un proveedor de servicios te alerta, tienes 72 horas notificar a la CNIL si el fuga de datos presenta un riesgo para las personas. No tres semanas. No hay tiempo suficiente para convocar un comité directivo. El procedimiento debe estar listo, escrito, probado y listo para activarse un domingo por la noche. Nuestra página dedicada a la declaración sobre violación de datos Detalla los pasos para evitar hacerlo al revés.
Informar a los interesados, el momento de la verdad
Si la filtración supone un alto riesgo para los derechos y libertades individuales, el RGPD exige que cada persona sea informada directamente. A menudo, en este punto, la comunicación de crisis tiene prioridad sobre las acciones legales. Si se gestiona mal, la confianza se desmorona; Marie-Laure Denis incluso habla de «la erosión del vínculo de confianza entre el Estado y sus ciudadanos» en relación con las filtraciones gubernamentales. Para una empresa privada, esto significa que el cliente se va y el abogado acude.
La sanción y lo que revela sobre la madurez de la organización.
Allá CNIL No penaliza el acto de huir en sí mismo; penaliza las faltas que lo hicieron posible o lo agravaron. Ausencia deautenticación multifactorregistro incompleto, contratos de subcontratación genéricos, notificación tardía, responsabilidad inexistente. Aquí es donde se construye la defensa —o la condena—. Para que toda esta estructura sea fiable, nuestra Guía completa para las auditorías de cumplimiento del RGPD Describe la metodología utilizada por nuestros consultores.
Preguntas frecuentes
Mi proveedor de servicios ha sufrido una filtración de datos. ¿Soy yo el responsable?
Ya que controlador de datosSí, usted sigue siendo legalmente responsable del procesamiento de datos, incluso si la fuga se origina en su subcontratista. Debe analizar el riesgo y notificarlo. CNIL si es necesario en el 72 horasy, cuando proceda, informar a las personas interesadas. acuerdo de subcontratación RGPD Debes planificar cómo el proveedor de servicios te alertará y cooperará contigo.
¿Es obligatoria la autenticación multifactor?
No está explícitamente establecido en el RGPD, pero el CNIL lo considera una medida técnica esperada para cualquier acceso a datos personales Sensible o a gran escala. Su recomendación de marzo de 2025 es explícita, y las auditorías de 2026 se centrarán principalmente en las organizaciones que no la hayan implementado. En resumen: ya no es opcional.
¿Cuál es el plazo para notificar a la CNIL una violación de datos?
72 horas desde el momento en que se informa del incidente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas. Más allá de este punto, una notificación tardía debe estar justificada. El informe se realiza a través del servicio en línea de la CNIL y debe describir la naturaleza de la violación de seguridad, las categorías de datos involucrados y las medidas adoptadas.
¿Cuáles son las primeras acciones que debe implementar una PYME?
Mapea los tratamientos y mantén un registro de actividades de procesamiento mantener actualizado, identificar y contratar adecuadamente a cada subcontratista a través de un DPAdesplegar el Máster en Bellas Artesescribir un procedimiento para notificación de infraccióny designar un referente o un OPDEstas cinco zonas de construcción abarcan los puntos de control esenciales. CNIL.
¿Cuál es la finalidad de una Evaluación de Impacto en la Protección de Datos (EIPD) y cuándo debe realizarse?
El'AIPD (análisis de impactoLa evaluación de riesgos es obligatoria para las actividades de procesamiento que presenten un alto riesgo para los derechos y las libertades: vigilancia a gran escala, datos sensibles, elaboración de perfiles automatizada, etc. Documenta los riesgos, las medidas para mitigarlos y demuestra su enfoque de gestión de riesgos.responsabilidadEste es uno de los primeros documentos que el CNIL solicitud en caso de inspección.
¿Quieres convertir estas lecciones en un plan de acción concreto?
Para obtener más información, consulte todos nuestros recursos en el gobernanza de datos y el cumplimiento del RGPD en el Plataforma Viqtor.