Fuites de données aux Pays-Bas : le papier est la cause principale
Demandez à un entrepreneur au hasard d'où vient une fuite de données et la réponse est presque toujours la même. Les pirates. Pourtant, cette image ne correspond pas aux chiffres. L'Autoriteit Persoonsgegevens recense le nombre de fuites de données signalées et leur cause. De ces rapports publics ressort une conclusion surprenante. La principale cause de fuites de données aux Pays-Bas n'est pas une cyberattaque, mais le papier. Une lettre remise à la mauvaise adresse, un dossier égaré, une pile de vieux papiers laissée dans la rue. Cet article analyse ces chiffres et montre ce que vous pouvez y faire vous-même.
Les chiffres que personne n'attend
Sur l'ensemble de l'année 2024, l'Autoriteit Persoonsgegevens a reçu 37 839 notifications de fuites de données. L'année suivante, ce nombre a encore augmenté. Derrière ce total se cache une répartition qui va à l'encontre de l'intuition. Lorsque l'AP examine la cause des fuites de données signalées par les entreprises et les organisations, il s'agit dans environ 41 pour cent des cas d'une lettre ou d'un colis contenant des données personnelles. Remis à la mauvaise adresse, perdu ou revenu sans avoir été ouvert. C'est de loin la catégorie la plus signalée, et cela dure déjà depuis des années.
À titre de comparaison. L'e-mail envoyé au mauvais destinataire représente environ 18 pour cent. La catégorie à laquelle tout le monde pense, la cyberattaque par un pirate, est responsable d'environ 5 pour cent des notifications. Le papier et le courrier réunis pèsent donc bien plus lourd que l'image cyber qui fait la une des journaux.
Source. Autoriteit Persoonsgegevens, rapport sur les fuites de données du premier semestre 2024. Pourcentages arrondis. La catégorie autres causes regroupe notamment la communication orale et le matériel perdu.
Ce que les chiffres disent précisément, et ce qu'ils ne disent pas
Un peu d'honnêteté s'impose ici, car avec les chiffres il est facile d'exagérer. La catégorie des 41 pour cent concerne une lettre ou un colis contenant des données personnelles qui atterrit au mauvais endroit. Ce n'est pas la même chose qu'un papier mal détruit. Une grande partie de ces notifications naît dans le courrier. Une police d'assurance envoyée à l'ancien occupant, une lettre avec la mauvaise adresse sur l'enveloppe, un colis égaré par le livreur. La destruction de documents n'empêche pas une telle erreur de distribution.
Ce que les chiffres montrent bien, c'est un schéma plus large. Aux Pays-Bas, les données personnelles physiques sur papier sont la source dominante de fuites de données. Pas la source spectaculaire, mais l'ennuyeuse. Des gestes humains avec des documents, pas du code. À l'intérieur de ce schéma large se trouve une part que vous maîtrisez entièrement. Le papier dont vous n'avez plus besoin, mais qui traîne malgré tout ou disparaît sans protection avec le vieux papier. C'est le coin évitable du problème, et c'est de cela que traite la suite de cet article.
Pourquoi le papier est l'angle mort
Presque chaque organisation a investi ces dernières années dans la sécurité numérique. Pare-feu, politique de mots de passe, formations contre l'hameçonnage. À juste titre, car une cyberattaque peut toucher d'un coup des centaines, voire plus d'un million de personnes. Mais pendant que l'attention se portait sur l'écran, l'armoire d'archives restait hors du champ. C'est là que se trouvent les classeurs de fiches de paie, les cartons de vieux dossiers clients, le bac de documents qui auraient déjà pu partir.
Cet angle mort est logique. Une fuite numérique paraît moderne et menaçante. Une pile de papier paraît inoffensive. Pourtant, ce papier reste souvent accessible pendant des années à quiconque passe à côté, bien plus longtemps qu'un attaquant ne reste dans un réseau. Un déménagement, des travaux, un collaborateur qui s'en va. Chaque moment où des cartons sont déplacés est un moment où le papier peut se retrouver dans la rue. Les chiffres de l'AP montrent que ce n'est pas une théorie, mais la pratique la plus signalée.
Vous reconnaissez ce risque dans vos propres archives ? Poursuivez alors avec 6 signes que vos archives présentent un risque RGPD.
Ce que la destruction résout, et ce qu'elle ne résout pas
Il est tentant de dire maintenant que la destruction de documents résout le problème des fuites de données. Ce ne serait pas honnête. La destruction n'empêche pas qu'une lettre soit mal remise ni qu'un e-mail parte à la mauvaise personne. Ce que la destruction fait bien, c'est supprimer une source concrète et évitable. À savoir le papier dont vous n'avez plus besoin.
Pensez à l'administration client dont le délai de conservation est dépassé, aux dossiers du personnel de personnes parties il y a des années, aux lettres de candidature que vous n'auriez jamais dû garder. Tant que ce papier existe, il constitue une fuite potentielle. Dès qu'il est détruit de manière démontrable, le risque disparaît. Pas déplacé vers une autre armoire, mais vraiment disparu. C'est le gain sobre. Vous réduisez le tas qui pourrait un jour devenir une notification.
Il y a une seconde raison. Si, malgré tout, quelque chose tourne mal, vous devez pouvoir démontrer que vous traitez les données avec soin. Un certificat de destruction constitue alors votre preuve. Il montre que le papier a été détruit au bon niveau et à quel moment. Cela fait la différence entre être manifestement maître de la situation et ne rien pouvoir présenter après coup. Plus sur cette charge de la preuve dans la destruction démontrable pour le RGPD.
Autotest : à quel point votre flux de papier est-il vulnérable ?
Les chiffres de l'AP portent sur l'ensemble des Pays-Bas. La question qui compte est de savoir à quoi ressemble votre propre situation. Passez ces points en revue.
- Savez-vous quel papier a dépassé son délai de conservation ? Tout ce qui reste trop longtemps est un risque inutile.
- Y a-t-il quelque part un carton de vieux dossiers sans destination claire ? C'est exactement le tas qui s'égare lors d'un déménagement.
- Le papier confidentiel finit-il parfois chez vous avec le vieux papier ordinaire ? Un bac à papier ouvert reste des jours dans la rue.
- Recevez-vous une preuve lorsque le papier est détruit ? Sans certificat, vous ne pouvez rien démontrer après coup.
- Savez-vous qui a accès à vos archives physiques ? Un accès sans vue d'ensemble est une fuite en devenir.
Si vous hésitez sur un ou plusieurs points, votre vulnérabilité se trouve là. Un premier rangement fait aussitôt baisser le tas. Comment vous y prendre figure dans le plan étape par étape pour nettoyer vos archives, et pour de plus petites quantités dans ranger ses vieux documents.
Ce que coûte l'élimination de ce tas
Faire détruire du papier de façon confidentielle n'est pas un gros investissement. Vous payez un prix fixe par carton ou conteneur roulant, à partir d'environ 30 euros pour le premier carton. Le certificat est compris. Dans un rayon de 20 km autour d'Amsterdam, nous ne facturons pas de frais de déplacement. Grâce aux tournées groupées, un prix fixe est aussi possible dans tout le pays. Un rangement ponctuel de plusieurs années de papier accumulé se traite ainsi en une seule fois. Rapporté aux coûts et à l'atteinte à la réputation d'une fuite de données, c'est un petit prix pour un risque que vous supprimez entièrement.
Un exemple concret
Un cabinet de conseil découvre lors d'un déménagement une pièce pleine de cartons de vieux dossiers clients. Plus personne ne sait exactement ce qu'ils contiennent. Le contenu s'avère dépasser depuis des années le délai de conservation. Dans l'ancien local, les cartons étaient ouverts et accessibles aux agents d'entretien, aux visiteurs et aux intérimaires. Exactement le genre de situation où naît une fuite de données. Le cabinet fait enlever les cartons scellés et détruire au bon niveau, puis consigne les certificats dans le registre des traitements. Le tas vulnérable a disparu, la preuve est là, et lors du prochain contrôle il suffit de quelques minutes pour montrer que le papier a été rangé de manière démontrable.
Éliminer le tas de papier sensible ?
Indiquez combien de cartons ou de classeurs ont dépassé le délai de conservation et vous obtenez un prix fixe. Nous l'enlevons scellé, le détruisons au bon niveau DIN et vous recevez un certificat comme preuve pour votre dossier RGPD. Pas de frais de déplacement dans un rayon de 20 km autour d'Amsterdam.
Demander un devisQuestions fréquentes
Quelle est la principale cause de fuites de données aux Pays-Bas ?
Selon l'Autoriteit Persoonsgegevens, environ 41 pour cent des notifications de fuites de données par les organisations concernent une lettre ou un colis contenant des données personnelles remis à la mauvaise adresse, perdu ou revenu sans avoir été ouvert. Le papier et le courrier sont ainsi la cause la plus signalée, bien devant les cyberattaques.
Les pirates ne sont-ils pas la principale cause des fuites de données ?
Pas en nombre. Les cyberattaques représentent environ 5 pour cent des notifications. Elles touchent souvent beaucoup plus de personnes par incident et l'impact est important. En nombre pur, les erreurs humaines avec le papier et l'e-mail sont bien plus fréquentes.
La destruction de documents résout-elle le problème des fuites de données ?
Pas entièrement. La destruction n'empêche pas qu'une lettre soit remise à la mauvaise adresse. Elle supprime en revanche une source concrète et évitable. Le papier qui traîne trop longtemps ou qui est jeté sans protection. Une destruction démontrable retire ce tas de vos risques.
D'où viennent ces chiffres ?
Des rapports publics sur les fuites de données de l'Autoriteit Persoonsgegevens. L'AP publie chaque année le nombre de notifications et les principales causes. Les pourcentages de cet article proviennent de ces rapports et sont consultables sur le site de l'AP.
Que peut faire mon organisation dès maintenant ?
Cartographiez votre flux de papier, contrôlez les délais de conservation et faites détruire de façon confidentielle, avec certificat, les documents qui peuvent partir. Vous réduisez ainsi le tas de papier sensible susceptible de devenir une fuite de données. Une approche plus détaillée pour les PME figure dans RGPD et destruction de documents, ce que la PME doit faire.
Conclusion
L'image selon laquelle les fuites de données sont surtout l'œuvre de pirates ne correspond pas aux chiffres néerlandais. L'Autoriteit Persoonsgegevens montre année après année que le papier et le courrier sont la cause la plus signalée, loin devant la cyberattaque. Une partie de ces cas se produit dans le courrier et est difficile à éviter. Mais une autre partie, vous la maîtrisez entièrement. Le papier qui a dépassé son délai de conservation et qui traîne malgré tout est une fuite qui n'attend que de se produire. Cartographiez votre flux de papier, contrôlez les délais et faites détruire de manière démontrable ce qui peut partir. Vous éliminez ainsi chez vous la cause la plus ennuyeuse mais la plus importante de fuites de données.
À lire aussi : savez-vous quoi faire si les choses tournent quand même mal ? Suivez alors le plan pour notifier une fuite de données dans les 72 heures. Approfondissez ensuite avec 6 signes que vos archives présentent un risque RGPD et la destruction démontrable pour le RGPD.
Éliminer chez vous la cause principale ? Demandez un devis via desnipperaar.nl ou lisez d'abord comment le certificat de destruction constitue votre preuve. Nous enlevons le papier sensible scellé.