Violações de dados: a CNIL (Comissão Nacional de Informática e Liberdades) soa o alarme, e nós também.
Há duas semanas, um executivo me ligou em pânico. Um de seus fornecedores de serviços havia acabado de sofrer um ataque cibernético. Os arquivos de seus clientes, que ele acreditava estarem bem protegidos por um provedor SaaS "certificado", estavam expostos. A primeira pergunta que ele me fez foi: "Bem, esse é o problema deles, certo?" Bem, não. É problema dele também. E essa é precisamente uma das principais conclusões do relatório anual publicado pela CNIL 18 de maio: vazamentos de dados explodir, e a cadeia de subcontratação está quase sempre envolvida.
6.167 notificações de violação de dados Registrado em 2025. Um recorde. 9,5 % a mais do que em 2024, e o primeiro trimestre de 2026 já segue a mesma tendência com 2.730 incidentes. Por trás desses números estão milhões de franceses afetados, empresas abaladas e uma mensagem clara de Marie-Laure Denis, presidente da CNIL : lá cibersegurança A situação do Estado, assim como a das empresas, está "longe de ser satisfatória".
Resumindo
- Registro absoluto de violações de dados Na França, em 2025: 6.167 notificações, +9,5 % em um ano, e o primeiro trimestre de 2026 confirma a tendência.
- O vazamentos de dados estão se tornando cada vez mais massivas, com a administração pública na vanguarda, e frequentemente envolvem um prestador de serviços.
- A avaliação e o quadro contratual do Subcontratado do RGPD tornaram-se uma obrigação primordial: um DPA Conformidade, auditorias e monitoramento são a base.
- Autenticação multifatorial (Ministério das Relações Exteriores) é agora a medida que o CNIL espera por padrão. Em 2026, 50% dos seus controles se concentrarão no cibersegurança.
- Um procedimento de notificação de violação testado, a atualização de registro de atividades de processamento e a realização de AIPD Fazem toda a diferença no grande dia.
- A conformidade não é comprovada por intenções, mas por documentos: é isso que ela representa.responsabilidade.
O que o relatório anual da CNIL (realmente) diz
"Violações cada vez mais massivas"
O relatório não se limita a contabilizar. Ele pinta um quadro. Cerca de quarenta incidentes em 2025 afetaram mais de um milhão de pessoas cada um — dez a mais do que em 2024. A administração pública lidera com 19 milhões de incidentes relatados, seguida pelos setores de saúde, serviços sociais e, por fim, atividades financeiras e de seguros. E não é só isso: esse número sequer inclui os ciberataques contra os softwares da Weda e da Harvest, que, sozinhos, geraram mais de 11.600 notificações de clientes. Um único incidente a montante, milhares de empresas a jusante. Isso diz tudo.
Três lições que devem ser aprendidas
Lá CNIL Três observações importantes emergem e devem ser destacadas por todos os líderes presentes no conselho do comitê executivo. Primeiro: ninguém está a salvo. Federações esportivas, redes hoteleiras, seguradoras mútuas, autoridades locais, PMEs, bem como grandes corporações — a ameaça não tem mais um perfil típico. Segundo: o vazamentos de dados Elas dizem respeito a volumes cada vez maiores. Em terceiro lugar, e é aqui que o assunto se conecta aos nossos artigos anteriores: esses incidentes geralmente envolvem prestadores de serviços. Subcontratado do RGPD tornou-se o elo mais exposto.
O método utilizado pelos atacantes está se tornando comum.
Metade de todos os incidentes relatados envolve ataques cibernéticos. Por trás dessa palavra, existe uma série de problemas: ransomware, phishing, preenchimento de credenciais, roubo de contas de usuários legítimos. Além disso, 13 dos incidentes decorrem da inclusão de um destinatário incorreto em cópia em um e-mail, 7 da perda de hardware e 7 de postagens acidentais. Em resumo, o erro humano continua sendo um fator significativo. E ainda há a IA generativa, que, nas palavras do presidente da CNILO caso ANTS, em que um menor de 15 anos — "não um prodígio", especificou o promotor — está envolvido após o ataque cibernético à agência de documentos confidenciais, é uma demonstração arrepiante disso.
Por que seus subcontratados (ainda) estão no centro do problema?
Quando um prestador de serviços falha, seus clientes falham junto.
Voltemos à história dos softwares Weda e Harvest. Foram dois ciberataques, mas as autoridades receberam 11.600 notificações. Isso porque, em cada caso, por trás da empresa que desenvolve o software, existem centenas de consultórios médicos e centenas de consultores de gestão patrimonial que também são afetados. controlador de dados e devem reportar o vazamento aos seus próprios clientes. Este é exatamente o cenário da subcontratada Mobius/Deezer que... CNIL A empresa foi multada em um milhão de euros até o final de 2025 — só que, neste caso, o custo se multiplica. Um ataque, mil vítimas profissionais, milhões de pessoas afetadas.
A avaliação preliminar: sua melhor (e única) proteção.
O RGPD não deixa margem para dúvidas: um controlador de dados "Utiliza apenas subcontratados que ofereçam garantias suficientes." Esta obrigação, prevista no artigo 28.º, n.º 1, não é mera ilusão. É o que os inspetores irão verificar. Especificamente, envia um questionário de avaliação a cada prestador de serviços? Questiona a sua política de segurança, os seus registro de atividades de processamento, o nome deles DPOSuas certificações? Você já identificou as suas? transferências de dados Fora da UE? Se a resposta a alguma dessas perguntas for "hum", você já tem sua primeira prioridade operacional.
O contrato por si só não basta, nem a auditoria, mas ambos em conjunto, sim.
UM Acordo de subcontratação em conformidade com o RGPD bem escrito — isto é, um DPA Reiterar as oito cláusulas obrigatórias do Artigo 28 §3 é o ponto de partida, não o objetivo final. A gestão a longo prazo também é essencial: auditorias anuais, avaliações de subcontratados subsequentes e monitoramento de medidas técnicas e organizacionais aplicada de forma eficaz. Para estruturar essa abordagem, o Módulo de Subcontratados Viqtor Centraliza avaliações, contratos, auditorias e histórico de transações em um único repositório. Este é o tipo de evidência que um controlador pode precisar. CNIL Adoraria ver isso.
Os contratos e avaliações dos seus subcontratados estão atualizados? Obtenha informações de um especialista da Viqtor.
O que o governo está fazendo — e o que você deve fazer em resposta.
200 milhões de euros e uma nova autoridade digital.
No final de abril, o primeiro-ministro Sébastien Lecornu apresentou seu plano: 200 milhões de euros para fortalecer o cibersegurança do Estado, fusão da diretoria interministerial para assuntos digitais e da diretoria para transformação pública, a fim de criar uma autoridade digital vinculada ao gabinete do primeiro-ministro. Em seguida, oANSSI publicou novas diretrizes para os ministérios: cada um deve nomear um assessor. cibersegurançaIsso não é insignificante. Quando o Estado se reorganiza nesse nível, significa que considera que a situação está crítica. No entanto, nessa cadeia, os departamentos governamentais terceirizam grande parte dos serviços — e cada prestador de serviços é um ponto de entrada potencial.
Autenticação multifatorial: a medida que poderia ter evitado muitas tragédias.
Lá CNIL Reforça uma mensagem simples: a maioria dos grandes ataques recentes poderia ter sido evitada com um autenticação multifatorial implantado corretamente. O Ministério das Relações ExterioresÉ esse fator duplo que torna grande parte das técnicas ineficazes. preenchimento de credenciais e phishingA autoridade publicou sua recomendação já em março de 2025, dando tempo para que as organizações se adaptassem, e agora está anunciando controles específicos. Em 2026, 50% das ações de fiscalização se concentrarão em: cibersegurança, em comparação com um quarto a um terço em 2025. Para bases que abrigam mais de um milhão de pessoas, as verificações serão uma prioridade.
Alguns projetos concretos serão lançados esta semana.
Sem sobrecarregar as equipes, existem algumas ações que podem ser tomadas rapidamente e que fazem uma grande diferença em caso de incidente. Aqui está o que eu recomendo aos meus clientes executivos quando me perguntam por onde começar.
- Ative o Ministério das Relações Exteriores em todas as contas privilegiadas e no acesso a ferramentas que contenham dados pessoais.
- Atualize sua lista de subcontratados e verifique se cada um possui um contrato de prestação de serviços. DPA assinado e identificar aqueles que executam transferências de dados fora da UE.
- Teste o seu procedimento notificação de violação Quem notifica quem? Você consegue rastrear a sequência de eventos até...? CNIL dentro do prazo legal de 72 horas ?
- Documentando um AIPD (análise de impacto) para seus tratamentos de alto risco — esse é o outro ponto que o CNIL verificações sistemáticas.
- Dê mais uma olhada rápida no seu registro de atividades de processamento Raramente é tão atualizado quanto se poderia pensar.
E o que acontece depois do vazamento? Gerenciamento de incidentes, onde tudo se resume.
As primeiras 72 horas decidem o resto.
Quando um provedor de serviços o alerta, você tem 72 horas para notificar o CNIL se o vazamento de dados Apresenta um risco para as pessoas. Não três semanas. Não é tempo suficiente para convocar um comitê diretivo. O procedimento deve estar pronto, escrito, testado e pronto para ser ativado em um domingo à noite. Nossa página dedicada ao declaração de violação de dados Detalha os passos para evitar fazer isso ao contrário.
Informar os envolvidos, o momento da verdade.
Se a violação representar um alto risco para os direitos e liberdades individuais, o RGPD exige também que cada indivíduo seja informado diretamente. É frequentemente neste ponto que a comunicação de crise se torna prioritária em relação à ação judicial. Se mal gerida, a confiança desmorona — Marie-Laure Denis chega mesmo a falar da "erosão do vínculo de confiança entre o Estado e os seus cidadãos" em relação a fugas de informação governamentais. Para uma empresa privada, significa que o cliente vai embora e o advogado entra em ação.
A sanção e o que ela revela sobre a maturidade da organização.
Lá CNIL Não penaliza o ato de fugir em si; penaliza as falhas que o tornaram possível ou o agravaram. Ausência deautenticação multifatorialRegistro incompleto, contratos genéricos de subcontratação, notificação tardia, responsabilidade inexistente. É aqui que a defesa — ou a condenação — é construída. Para tornar toda essa estrutura confiável, nosso Um guia completo para auditorias de conformidade com o RGPD Descreve a metodologia utilizada pelos nossos consultores.
Perguntas frequentes
Meu provedor de serviços sofreu uma violação de dados. Sou responsável?
Na medida em que controlador de dadosSim, você continua sendo legalmente responsável pelo processamento dos dados, mesmo que o vazamento tenha origem em seu subcontratado. Você deve analisar o risco e notificar a empresa. CNIL se necessário no 72 horasE, quando apropriado, informe as pessoas envolvidas. Seu contrato de subcontratação RGPD É preciso planejar como o provedor de serviços irá alertá-lo e cooperar com você.
A autenticação multifatorial é obrigatória?
Não está explicitamente declarado no RGPD, mas CNIL considera-se uma medida técnica esperada para qualquer acesso a dados pessoais sensível ou em grande escala. Sua recomendação de março de 2025 é explícita, e as auditorias de 2026 terão como alvo principal as organizações que não a implementaram. Em resumo: não é mais opcional.
Qual é o prazo para notificar a CNIL sobre uma violação de dados?
72 horas A partir do momento em que o incidente é relatado, a menos que seja improvável que a violação represente um risco para os direitos e liberdades individuais. Após esse ponto, uma notificação tardia deve ser justificada. O relato é feito através do serviço online do CNIL e deve descrever a natureza da violação, as categorias de dados envolvidas e as medidas tomadas.
Quais são as primeiras ações a serem implementadas para uma PME?
Mapeamento de tratamentos e manutenção de um registro de atividades de processamento Manter-se atualizado, identificar e contratar adequadamente cada subcontratado por meio de um DPAimplantar o Ministério das Relações ExterioresEscreva um procedimento para notificação de violaçãoe designar um referente ou um DPOEsses cinco canteiros de obras abrangem os pontos de controle essenciais. CNIL.
Qual é o objetivo de uma Avaliação de Impacto sobre a Proteção de Dados (AIPD) e quando ela deve ser realizada?
L'AIPD (análise de impactoA avaliação de riscos é obrigatória para atividades de tratamento de dados que apresentem alto risco para os direitos e liberdades: vigilância em larga escala, dados sensíveis, criação automatizada de perfis, etc. Ela documenta os riscos, as medidas para mitigá-los e demonstra a sua abordagem de gestão de riscos.responsabilidadeEste é um dos primeiros documentos que o CNIL Solicitação em caso de inspeção.
Você quer transformar essas lições em um plano de ação concreto?
Para saber mais, encontre todos os nossos recursos em governança de dados e a conformidade com o RGPD em relação ao Plataforma Viqtor.