Intervention de Edouard Geffray

Aujourd'hui, il n'existe pas d'obligation de notification à la CNIL des failles de sécurité des bases de données. Cette obligation – qui ne pèse, actuellement, que sur les opérateurs de télécommunications – sera introduite par le règlement européen sur la protection des données, qui entrera en vigueur le 25 mai 2018. Je ne suis donc pas en mesure de vous dire si les organismes dont il est question ici pâtissent de telles failles. Cependant, nous observons, de manière générale, que le nombre de saisies, qu'elles soient spontanées ou le fait de tiers, concernant des failles de sécurité ne cesse de croître, si bien qu'elles deviennent le lot quotidien de la CNIL. Ces failles – qui peuvent être dues, par exemple, à des attaques extérieures ou à la négligence d'agents qui égarent leur ordinateur ou leur téléphone non crypté – sont donc un enjeu majeur. Le 25 mai 2018, nous pourrons vous donner une photographie en temps réel des informations qui nous seront transmises dans ce domaine.