Les données à caractère personnel présentent un attrait particulier pour les attaquants. Elles font donc l'objet d'actions malveillantes, à finalité lucrative ou d'espionnage. En raison de leur faible sécurisation, elles font l'objet de divulgations massives, répondant à des motivations diverses de la part des attaquants. Dans son Panorama de la menace 2021, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a classé ces divulgations en quatre grandes catégories : les divulgations de données dans le cadre d'attaques par rançongiciels ; les divulgations motivées idéologiquement (hacktivisme) ou dans le cadre d'opérations de déstabilisation ; les divulgations de données à des fins de revente ; et enfin les divulgations par négligence. Les données personnelles volées peuvent être réutilisées pour mener de nouvelles attaques, notamment par hameçonnage : elles fournissent des portes d'entrée aux attaquants et facilitent les cyberattaques. La protection des données personnelles est donc essentielle dans une optique de renforcement du niveau de cybersécurité. L'action de l'ANSSI, service à compétence nationale rattaché au secrétaire général de la défense et de la sécurité nationale, concourt à cet objectif dans le domaine de la sécurisation des systèmes d'information hébergeant des données, notamment à caractère personnel, des individus, des entreprises (TPE/PME, grandes entreprises), des administrations et des collectivités auxquels elle fournit des ressources méthodologiques et pratiques, des recommandations et des outils. Elle met en œuvre diverses mesures visant à responsabiliser les acteurs privés et promouvoir les offres numériques sécurisées, notamment en qualifiant des prestataires de produits et de services. Les visas de sécurité délivrés par l'ANSSI permettent d'identifier facilement les offres dont la fiabilité a été reconnue à l'issue d'une évaluation rigoureuse. Au-delà de la sécurisation des données, la protection des données repose sur un ensemble de principes et pratiques tels que la transparence et la licéité, les droits des personnes physiques concernées, la limitation des finalités, la minimisation des données ou encore la pertinence et la durée de conservation d'une donnée. De nombreuses mesures visant à protéger les données des citoyens et des entreprises ont été mises en œuvre, tant au niveau européen que national. En particulier, le règlement européen sur la protection des données (RGPD), entré en application le 25 mai 2018, vise à harmoniser les règles et les pratiques européennes applicables en matière de protection des données à caractère personnel et complète d'autres dispositifs règlementaires concourant au renforcement de la sécurité numérique limités à un nombre restreint d'organisations. La Commission nationale de l'informatique et des libertés (CNIL), autorité indépendante de contrôle pour la protection des données à caractère personnel en France est ainsi chargée de veiller à la bonne application du RGPD et d'accompagner les entités engagées dans leur démarche de mise en conformité avec le règlement. Elle effectue un travail majeur au profit de nos concitoyens en contrôlant la protection de leurs données personnelles face à des utilisations non autorisées. Elle rend également obligatoire l'information des citoyens dont les données personnelles ont été divulguées.