Violazioni dei dati: la CNIL lancia l'allarme e noi siamo d'accordo.
Due settimane fa, un dirigente mi ha chiamato in preda al panico. Uno dei suoi fornitori di servizi aveva appena subito un attacco informatico. I file dei suoi clienti, che pensava fossero ben protetti da un fornitore SaaS "certificato", erano alla mercé di tutti. La prima domanda che mi ha fatto è stata: "Beh, è un loro problema, giusto?". Beh, no. È anche un suo problema. E questo è precisamente uno dei punti chiave emersi dalla relazione annuale pubblicata da CNIL 18 maggio: fughe di dati esplodono, e la catena di subappalto è quasi sempre nell'equazione.
6.167 notifiche di violazione dei dati registrato nel 2025. Un record. 9,5 % in più rispetto al 2024, e il primo trimestre del 2026 sta già seguendo lo stesso trend con 2.730 incidenti. Dietro queste cifre ci sono milioni di francesi colpiti, imprese scosse e un messaggio chiaro da Marie-Laure Denis, presidente della CNIL : Là sicurezza informatica quella dello Stato, così come quella delle imprese, è "tutt'altro che soddisfacente".
In sintesi
- Record assoluto di violazioni dei dati In Francia nel 2025: 6.167 notifiche, +9,5 % in un anno, e il primo trimestre del 2026 conferma il trend.
- IL fughe di dati stanno diventando sempre più imponenti, con la pubblica amministrazione in prima linea, e molto spesso coinvolgono un fornitore di servizi.
- Il quadro di valutazione e contrattuale del subappaltatore GDPR sono diventati un obbligo primario: un DPA La conformità, gli audit e il monitoraggio sono alla base di tutto.
- Autenticazione a più fattori (MFA) è ora la misura che il CNIL attende per impostazione predefinita. Nel 2026, 50 dei suoi controlli % si concentreranno su sicurezza informatica.
- Una procedura di notifica di violazione testato, l'aggiornamento di registro delle attività di elaborazione e la realizzazione di AIPD fanno la differenza nel giorno più importante.
- La conformità non si dimostra con le intenzioni, ma con i documenti: ecco cos'è.responsabilità.
Cosa dice (davvero) la relazione annuale della CNIL
Violazioni "sempre più massicce"
Il rapporto non si limita a contare. Dipinge un quadro completo. Circa quaranta incidenti nel 2025 hanno colpito ciascuno più di un milione di persone, dieci in più rispetto al 2024. La pubblica amministrazione è in testa con 19 milioni di incidenti segnalati, seguita da sanità, servizi sociali e poi dalle attività finanziarie e assicurative. E non è tutto: questa cifra non include nemmeno gli attacchi informatici contro i software Weda e Harvest, che da soli hanno generato oltre 11.600 notifiche ai clienti. Un singolo incidente a monte, migliaia di aziende a valle. Questo dice tutto.
Tre lezioni da imparare
Là CNIL Emergono tre osservazioni chiave che ogni leader dovrebbe scrivere in modo prominente sul consiglio del comitato esecutivo. Primo: nessuno è risparmiato. Federazioni sportive, catene alberghiere, compagnie di assicurazione mutua, autorità locali, PMI così come grandi aziende: la minaccia non ha più un profilo tipico. Secondo: il fughe di dati Riguardano volumi sempre più considerevoli. In terzo luogo, ed è qui che l'argomento si ricollega ai nostri articoli precedenti: questi incidenti spesso coinvolgono i fornitori di servizi. subappaltatore GDPR è diventato l'anello più esposto.
Il metodo utilizzato dagli aggressori sta diventando sempre più comune.
Gli attacchi hacker rappresentano la metà di tutti gli incidenti segnalati. Dietro questa parola si cela tutta una serie di problematiche: ransomware, phishing, credential stuffing, furto di account utente legittimi. Insieme a questo, 13 degli incidenti derivano da un destinatario errato inserito in copia in un'e-mail, 7 dalla perdita di hardware e 7 da invio accidentale. In breve, l'errore umano rimane un fattore significativo. E poi c'è l'IA generativa, che, secondo le parole del presidente del CNILIl caso ANTS, in cui è implicato un minore di 15 anni — "non un prodigio", ha specificato il pubblico ministero — dopo l'attacco informatico all'agenzia che gestisce i documenti protetti, ne è una dimostrazione agghiacciante.
Perché i vostri subappaltatori sono (ancora) al centro del problema
Quando un fornitore di servizi fallisce, i suoi clienti falliscono con esso.
Torniamo alla storia dei software Weda e Harvest. Si è trattato di due attacchi informatici, ma le autorità hanno ricevuto 11.600 segnalazioni. Perché ogni volta, dietro l'editore del software, ci sono centinaia di studi medici e centinaia di consulenti finanziari che vengono colpiti. controller dati e devono segnalare la perdita ai propri clienti. Questo è esattamente lo scenario del subappaltatore Mobius/Deezer che il CNIL È stata multata di un milione di euro entro la fine del 2025, solo che in questo caso il costo si moltiplica. Un attacco, mille vittime professionali, milioni di persone colpite.
La valutazione preliminare: la tua migliore (e unica) protezione
Il GDPR non lascia spazio a dubbi: controller dati "utilizza solo subappaltatori che offrono garanzie sufficienti". Quest'obbligo, sancito dall'articolo 28, paragrafo 1, non è un pio desiderio. È ciò che gli ispettori cercheranno. Nello specifico, inviate un questionario di valutazione a ciascun fornitore di servizi? Chiedete informazioni sulla loro politica di sicurezza, sulla loro registro delle attività di elaborazione, il nome del loro Responsabile della protezione dei datiLe loro certificazioni? Hai identificato il tuo trasferimenti di dati Fuori dall'UE? Se la risposta a una qualsiasi di queste domande è "uh", allora qual è la tua prima priorità operativa.
Il contratto da solo non basta, né lo è la revisione contabile, ma entrambi insieme, sì.
UN Accordo di subappalto GDPR ben scritto — vale a dire un DPA Ribadire le otto clausole obbligatorie dell'articolo 28 §3 è il punto di partenza. Non l'obiettivo finale. È essenziale anche la gestione a lungo termine: audit annuali, revisioni dei subappaltatori successivi, monitoraggio di misure tecniche e organizzative applicato efficacemente. Per strutturare questo approccio, il Modulo per subappaltatori Viqtor centralizza valutazioni, contratti, audit e cronologia delle transazioni in un unico archivio. Questo è il tipo di prova che un controller CNIL Mi piace vedere.
I contratti e le valutazioni dei vostri subappaltatori sono aggiornati? Scopri i dettagli con un esperto di Viqtor.
Cosa sta facendo il governo e cosa dovresti fare tu a tua volta
200 milioni di euro e una nuova autorità digitale
Alla fine di aprile, il Primo Ministro Sébastien Lecornu ha svelato il suo piano: 200 milioni di euro per rafforzare il sicurezza informatica dello Stato, fusione della direzione interministeriale per gli affari digitali e di quella per la trasformazione pubblica per creare un'autorità digitale collegata all'ufficio del Primo Ministro. In seguito a ciò, ilANSSI ha pubblicato nuove linee guida per i ministeri: ciascuno deve nominare un consulente sicurezza informaticaQuesto non è insignificante. Quando lo Stato si riorganizza a questo livello, significa che considera la situazione critica. Tuttavia, nella catena organizzativa, i dipartimenti governativi esternalizzano moltissime attività, e ogni fornitore di servizi rappresenta un potenziale punto di ingresso.
Autenticazione a più fattori: la misura che avrebbe potuto prevenire molte tragedie
Là CNIL ribadisce un messaggio semplice: la maggior parte dei recenti attacchi importanti avrebbe potuto essere evitata con un autenticazione a più fattori correttamente distribuito. Il MFAÈ proprio questo duplice fattore a rendere inefficace gran parte delle tecniche. furto di credenziali E phishingL'autorità ha pubblicato la sua raccomandazione già nel marzo 2025, dando alle organizzazioni il tempo di adattarsi, e ora sta annunciando controlli mirati. Nel 2026, il 50% delle azioni di applicazione si concentrerà su sicurezza informatica, rispetto a un quarto o un terzo nel 2025. Per le basi che ospitano più di un milione di persone, i controlli saranno una priorità.
Alcuni progetti concreti che verranno avviati questa settimana
Senza sovraccaricare i team, ci sono alcune azioni che possono essere intraprese rapidamente e fare davvero la differenza in caso di incidente. Ecco cosa consiglio ai miei clienti dirigenti quando mi chiedono da dove iniziare.
- Attivare il MFA su tutti gli account privilegiati e sull'accesso agli strumenti contenenti dati personali.
- Aggiorna il tuo elenco di subappaltatori, verifica che ognuno abbia un DPA firmati e identificare coloro che li eseguono trasferimenti di dati al di fuori dell'UE.
- Verifica la tua procedura notifica di violazione Chi avvisa chi? Sei in grado di ricostruire la catena degli eventi fino a... CNIL entro il termine legale di 72 ore ?
- Documentare un AIPD (analisi d'impatto) per i tuoi trattamenti ad alto rischio: questo è l'altro punto che il CNIL controlli sistematici.
- Dai un'altra rapida occhiata al tuo registro delle attività di elaborazione : raramente è aggiornato come si potrebbe pensare.
E cosa succede dopo la perdita? La gestione dell'incidente, dove tutto è in gioco.
Le prime 72 ore decidono il resto
Quando un fornitore di servizi ti avvisa, hai 72 ore per notificare il CNIL se il fuga di dati presenta un rischio per le persone. Non tre settimane. Non abbastanza tempo per convocare un comitato direttivo. La procedura deve essere pronta, scritta, testata e pronta per essere attivata la domenica sera. La nostra pagina dedicata a dichiarazione di violazione dei dati descrive dettagliatamente i passaggi per evitare di farlo al contrario.
Informare le persone interessate, il momento della verità
Se la violazione comporta un rischio elevato per i diritti e le libertà individuali, il GDPR prevede anche che ogni individuo venga informato direttamente. Spesso, in questa fase, la comunicazione di crisi prevale sull'azione legale. Se gestita male, la fiducia crolla: Marie-Laure Denis parla addirittura di "erosione del legame di fiducia tra lo Stato e i suoi cittadini" in relazione alle fughe di notizie governative. Per un'azienda privata, significa che il cliente se ne va e arriva l'avvocato.
La sanzione e ciò che rivela sulla maturità dell'organizzazione.
Là CNIL Non punisce l'atto della fuga in sé; punisce le mancanze che lo hanno reso possibile o aggravato. Assenza diautenticazione a più fattoriregistro incompleto, contratti di subappalto generici, notifica tardiva, responsabilità inesistente. È qui che si costruisce la difesa, o la condanna. Per rendere affidabile tutta questa struttura, il nostro Una guida completa agli audit di conformità al GDPR Descrive la metodologia utilizzata dai nostri consulenti.
Domande frequenti
Il mio fornitore di servizi ha subito una violazione dei dati. Sono responsabile?
Nella misura in cui controller datiSì, rimani legalmente responsabile del trattamento dei dati, anche se la fuga di dati ha origine dal tuo subappaltatore. Devi analizzare il rischio e notificare il CNIL se necessario nel 72 oree, ove opportuno, informare le persone interessate. Il tuo contratto di subappalto GDPR È necessario pianificare come il fornitore di servizi vi avviserà e collaborerà.
L'autenticazione a più fattori è obbligatoria?
Non è esplicitamente affermato nel GDPR, ma il CNIL lo considera una misura tecnica prevista per qualsiasi accesso a dati personali sensibile o su larga scala. La sua raccomandazione di marzo 2025 è esplicita e le verifiche del 2026 si concentreranno principalmente sulle organizzazioni che non l'hanno implementata. In breve: non è più un'opzione.
Qual è il termine ultimo per notificare alla CNIL una violazione dei dati?
72 ore dal momento in cui l'incidente viene segnalato, a meno che la violazione non sia suscettibile di costituire un rischio per i diritti e le libertà delle persone. Oltre questo punto, una notifica tardiva deve essere giustificata. La segnalazione viene effettuata tramite il servizio online dell' CNIL e deve descrivere la natura della violazione, le categorie di dati coinvolte e le misure adottate.
Quali sono le prime azioni da intraprendere per una PMI?
Mappare i trattamenti e mantenerli registro delle attività di elaborazione tenersi aggiornati, identificare e stipulare contratti adeguati con ciascun subappaltatore tramite un DPAscaricare il MFAscrivere una procedura per notifica di violazionee designare un referente o un Responsabile della protezione dei datiQuesti cinque cantieri coprono i punti di controllo essenziali. CNIL.
Qual è lo scopo di una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) e quando dovrebbe essere effettuata?
L'AIPD (analisi d'impattoLa valutazione del rischio è obbligatoria per le attività di trattamento che presentano un rischio elevato per i diritti e le libertà: sorveglianza su larga scala, dati sensibili, profilazione automatizzata, ecc. Essa documenta i rischi, le misure per mitigarli e dimostra l'approccio adottato nella gestione del rischio.responsabilitàQuesto è uno dei primi documenti che il CNIL richiesta in caso di ispezione.
Vuoi trasformare questi insegnamenti in un piano d'azione concreto?
Per saperne di più, trova tutte le nostre risorse su governance dei dati e conformità al GDPR Piattaforma Viqtor.