AP Néerlandais : violations de données et supervision sous

Selon Security.NL, l'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens, ou AP) a publié un document de position indiquant que de nombreuses organisations ne prennent pas les mesures nécessaires pour limiter l'impact des violations de données. Ce document a été publié en amont d'une table ronde parlementaire prévue le 21 mai 2026.

Que dit l'AP ?

Selon Security.NL, l'AP a identifié trois domaines nécessitant des améliorations urgentes : atteindre un niveau de sécurité élevé, limiter les conséquences des violations de données et garantir une supervision adéquate.

L'AP aurait souligné qu'une violation de données peut toucher n'importe quelle organisation. Pour cette raison, il ne suffit pas de se concentrer uniquement sur la prévention des violations. Les organisations doivent également prendre des mesures pour réduire les dommages lorsqu'une violation survient.

Plus précisément, l'AP a pointé trois mesures fondamentales que les organisations ne respecteraient toujours pas :

• Minimisation des données : ne collecter et traiter que les données personnelles strictement nécessaires
• Durées de conservation : ne pas conserver les données personnelles plus longtemps que nécessaire
• Notification : informer les personnes concernées par une violation de données de manière appropriée et dans les meilleurs délais

Selon Security.NL, l'AP a constaté que ces mesures de base sont encore trop souvent ignorées.

Une supervision sous pression

Le document de position aurait également soulevé des préoccupations concernant la supervision de l'AVG (le terme néerlandais pour le RGPD) et de la Cyberbeveiligingswet. Selon Security.NL, l'AP a indiqué qu'elle ne peut pas garantir une surveillance adéquate de ces lois en raison d'un manque de capacités. L'autorité aurait déclaré qu'elle devrait consacrer beaucoup plus de temps à la supervision préventive, par exemple en vérifiant si les organisations respectent leurs obligations en matière de minimisation des données et de durées de conservation, mais qu'elle dispose actuellement de peu de ressources pour le faire.

La table ronde du 21 mai 2026 réunira l'AP et plusieurs autres organisations pour discuter de cybersécurité et de sécurité de l'information. Les résultats de cette discussion ne sont pas encore connus.

Qu'est-ce que cela signifie pour votre site web ?

Si votre site web collecte des données personnelles, telles que des noms, des adresses e-mail ou des détails de commandes, le document de position de l'AP rappelle qu'il convient de vérifier si vous ne stockez que ce dont vous avez réellement besoin et si vous supprimez ces données lorsqu'elles ne sont plus nécessaires. Ces mêmes principes s'appliquent en France dans le cadre du RGPD et de la Loi Informatique et Libertés, et la CNIL attend des organisations qu'elles respectent ces règles fondamentales. Un bon point de départ est notre liste de contrôle de conformité RGPD ainsi que notre guide sur les exigences relatives aux politiques de confidentialité. Même les petites entreprises sont tenues de respecter ces règles de base.