Parmi les principales causes de cet eparpillement, on compte les erreurs des détenteurs (35,2%), puis les actes malfaisants (30%), suivit des vols effectués par le personnel des entreprises concernées (16%), un chiffre qui aurait par ailleurs doublé depuis 2007. Selon l'association, elle même soutenue par le ministère américain de la Justice, dans près de 83% des cas, il s'agit de fichiers informatiques. Les 17% restants concerneraient des documents papier.
En 2008, 36% des pertes ont été déclarées par des entreprises, contre seulement 21% en 2006. Même constat pour les institutions financières. Alors que leurs pertes de données ne représentaient que 8% du total en 2006, elles atteignent désormais 12%. A l'inverse, les pertes subies par le secteur public et celui de l'éducation sont passées de 30% à moins de 17%.
Ce recensement de l'ITRC n'est rendu possible que par l'obligation légale qu'ont les entreprises américaines de déclarer leurs pertes de données, une précaution à laquelle ne sont pas tenues les entreprises françaises. Pourtant l'ITRC ne serait en mesure de répertorier qu'environ 50% des cas.
