Dernières actualités : données personnelles

La commune de Brøndby fait l’objet d’une réprimande pour le manque de mesures de sécurité de ses données

À l’automne 2023, l’Agence danoise de protection des données a procédé à une inspection de la municipalité de Brøndby, en se concentrant sur deux thèmes clés : le contrôle périodique des droits d’accès et l’utilisation de l’authentification multifactorielle (MFA) lors de l’accès aux systèmes informatiques de la municipalité directement à partir d’Internet. Les thèmes ont été choisis sur la base des recommandations de l’autorité à la municipalité de Brøndby dans le cadre de contrôles écrits menés 2021 et 2022, au cours desquels la maturité de la municipalité dans le domaine de la protection des données a été examinée.

Suite à son enquête, Datatilsynet a conclu que la municipalité de Brøndby n’avait pas effectué de contrôles documentés permanents de l’accès des utilisateurs ordinaires à KMD Nexus [une application de services de santé] (c’est-à-dire les utilisateurs qui ne disposent pas de droits étendus ou de droits d’administrateur), les derniers contrôles effectués par la municipalité avant la visite d’inspection ayant eu lieu en janvier 2020 et en mars 2021.

En outre, jusqu’au le 15 novembre 2023, la municipalité de Brøndby n’a pas mis en œuvre le MFA lors de l’accès à KMD Nexus, mais également à d’autres sites ou applications. Le MFA n’a été mise en œuvre qu’après que l’Agence danoise de protection des données a notifié l’inspection à la municipalité de Brøndby et cinq ans après que la municipalité a estimé, dans une évaluation des risques de KMD Nexus, que l’absence de MFA pour la connexion directement depuis l’internet constituait une vulnérabilité. Sur cette base, l’Agence danoise de protection des données a réprimandé municipalité de Brøndby pour ne pas avoir pris les mesures de sécurité appropriées. En revanche, aucune amende n’a été prononcée à l’encontre de la municipalité.

Disponible (en danois) sur: datatilsynet.dk
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’autorité polonaise condamne 3 institutions pour avoir perdu une clé USB contenant les données RH et de paie de 1500 personnes

Le Président de l’UODO a imposé des amendes de 15 000 PLN et 20 000 PLN (environ 8000 euros au total) à deux institutions municipales de Kutno pour, entre autres, ne pas avoir mis en œuvre les mesures techniques et organisationnelles appropriées, ce qui a entraîné une violation de données. La première est le centre municipal d’aide sociale (MOPS) et du centre municipal de sports et de loisirs (MOSiR). Une amende de plus de 24 000 PLN (environ 5500 euros) a également été infligée à l’entreprise engagée par les institutions pour transférer les données vers le nouveau système de gestion des ressources humaines et des salaires.

A l’occasion de ce transfert, un employé de l’une des institutions a partagé les données avec un employé de l’entreprise chargée du transfert des données. Ces données ont été transférées sur une clé USB non chiffrée, qui a ensuite été perdue alors que son contenu n’avait pas été effacé après les données extraites, conformément aux procédures de l’entreprise. La clé USB a été trouvée par une personne qui a tenté de la restituer en publiant une annonce dans les médias locaux, mais sans succès. La personne a donc ouvert les fichiers et a pu identifier les institutions concernées. Après avoir pris connaissance de cette situation, les institutions ont signalé la perte de la clé USB à l’autorité de protection des données.

La clé contenait les données personnelles de près de 1 000 employés et collaborateurs actuels et anciens de l’une des institutions, ainsi que les données de 549 employés, retraités, anciens employés, contractants et participants aux travaux d’intervention de l’autre institution. Des données telles que les prénoms, noms, prénoms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, numéros d’enregistrement PESEL [équivalent du NIR], adresses électroniques, données sur les revenus et/ou les biens possédés, noms de famille de la mère, séries et numéros de carte d’identité, numéros de téléphone, données sur les vacances, congés de maladie, données sur les écoles terminées, historique de l’emploi, noms des enfants et leurs dates de naissance ont pu être trouvées sur le support.

Le président de l’autorité de protection des données a enquêté sur l’affaire et a estimé que la la MOPS, MOSiR et la société qui modifie le système de gestion des ressources humaines et des salaires auraient dû vérifier que les données à caractère personnel étaient partagées d’une manière qui tienne compte du risque de perte de leur support et qu’elles étaient protégées de manière adéquate contre tout accès non autorisé (par exemple, en utilisant le mot de passe requis pour ouvrir tous les fichiers ou dossiers de fichiers contenant des données à caractère personnel). Si cela avait été fait, la violation de données aurait pu être évitée.

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Données volées : l’autorité italienne annonce la création d’une task force interdépartementale

L’autorité italienne a annoncé ce jour avoir créé une task force interdépartementale afin de travailler sur le sujet des données volées.  « Le phénomène de l’accès non autorisé aux bases de données publiques et privées a toujours retenu l’attention du Garant pour la protection des données personnelles », déclare le président Pasquale Stanzione, “et il a fait l’objet, au fil des ans, de nombreuses mesures visant à renforcer les mesures de sécurité d’un point de vue technique et organisationnel”.

Suite à de récentes informations parues dans la presse, poursuit le président, nous avons créé un groupe de travail interdépartemental impliquant les secteurs concernés afin d’identifier rapidement les activités à entreprendre et les meilleures garanties pour protéger les bases de données. Nous avons notamment défini des mesures de sécurité, tant techniques qu’organisationnelles, adéquates en ce qui concerne l’accès du personnel autorisé, mais aussi toutes les opérations effectuées par les personnes chargées de leur gestion et de leur maintenance. En plus de poursuivre les activités d’inspection auprès des entreprises déjà identifiées ».

Ces dernières années, en effet, les rapports reçus font état d’une augmentation du phénomène lié à la revente d’informations confidentielles contenues dans des bases de données publiques par des sociétés privées« , conclut M. Stanzione, “qui, en recourant également à des agences d’enquête privées, offrent des services d” »information d’investigation« à toute personne intéressée, y compris par le biais de mécanismes opaques de récupération de données ».

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Violation de données : l’autorité italienne sanctionne Postel à hauteur de 900 000 euros

Dans sa newsletter du 22 octobre, l’autorité italienne évoque avoir sanctionné Postel (le « La Poste » italien) en raison d’une violation survenue du fait de l’exploitation d’une vulnérabilité connue de longue date, celle-ci ayant rendu les mesures de sécurité inadéquates. En août 2023, l’entreprise a été la cible d’une cyberattaque de type ransomware qui a provoqué le blocage des serveurs et de certains postes de travail. L’attaque a notamment entraîné l’exfiltration – et dans certains cas la perte de disponibilité – de fichiers contenant les données personnelles d’environ 25 000 personnes, y compris des employés, d’anciens employés, des parents, des titulaires de mandats sociaux, des candidats à l’emploi et des représentants d’entreprises ayant des relations d’affaires avec Postel. Les informations, publiées par la suite sur le dark web, concernaient des données personnelles et de contact, des données d’accès et d’identification, des données de paiement, ainsi que des données relatives à des condamnations pénales et à des infractions et, parmi les personnes appartenant à des catégories spéciales, des données révélant l’appartenance à un syndicat et la santé.

Bien que la vulnérabilité relative à Microsoft Exchange ait été signalée, d’abord par le fabricant du logiciel (septembre 2022, les mises à jour nécessaires étant disponibles en novembre 2022), puis par l’Agence nationale de cybersécurité (novembre 2022), Postel n’a pas mis à jour ses systèmes comme recommandé. L’entreprise a ainsi manqué à ses obligations au titre de la réglementation sur la protection des données, qui l’oblige à prendre des mesures techniques et organisationnelles pour assurer un niveau de sécurité adapté au risque. L’enquête a également révélé que, dans la notification de la violation de données à la Garante et dans les compléments ultérieurs, l’entreprise n’avait pas fourni d’informations exhaustives sur la violation et sur les mesures d’atténuation ou d’élimination des vulnérabilités constatées, ce qui a entraîné un allongement du délai nécessaire aux vérifications de l’autorité.

L’autorité italienne a ainsi ordonné à Postel, outre le paiement d’une amende de 900 000 euros, de mener une action extraordinaire pour analyser les vulnérabilités de ses systèmes, préparer un plan de détection et de gestion de ces vulnérabilités, et identifier des temps de détection et de réponse adaptés au risque.

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.