Dernières actualités : données personnelles

L’Usine digitale

Un établissement de santé victime d’une fuite de données, 750 000 dossiers de Français dérobés

Un pirate informatique a mis en vente le 19 novembre sur le site de piratage BreachForums des données personnelles sensibles appartenant à 758 912 Français. Il affirme sur le forum avoir dérobé les noms, prénoms, dates de naissance, adresses postales et e-mail et numéros de téléphone des individus. De manière plus inquiétante, il revendique aussi la fuite de certaines données sensibles, comme des prescriptions médicales, le nom du médecin traitant des patients, des déclarations de décès, les historiques de carte de mutuelle et des identifiants externes.

Disponible sur: usine-digitale.fr

Numerama – Cyberguerre

Une fuite de données frappe Le Point et une autre Auchan, un demi-million de clients affectés

Auchan piraté

À la liste déjà fort longue d’entreprises françaises victimes de fuites de données, deux noms viennent de s’y ajouter : le magazine Le Point et, surtout, l’enseigne de grande distribution Auchan. L’enseigne de grande distribution a adressé un mail à sa clientèle pour lui signaler une fuite de données. On parle du nom, prénom, mail, adresse postale, numéro de téléphone, date de naissance, et d’informations secondaires (composition du foyer, numéro de la carte de fidélité et montant de la cagnotte).

Disponible sur: numerama.com

UODO (autorité polonaise)

Amende de 350 000 PLN pour une société vendant des portes anti-effraction pour … non-respect des règles de protection des données

Aujourd’hui, l’autorité polonaise a annoncé avoir infligé une amende de plus de 350 000 PLN (environ 80 000 euros) à une société vendant, entre autres, des portes anti-effraction, pour non-respect des règles de protection des données à caractère personnel. Cette affaire commence par une notification de violation : la base de données indique avoir été victime d’un ransomware et avoir perdu une base de données qui contenait notamment les données d’anciens employés et d’employés actuels : numéros PESEL [équivalent du NIR], cartes d’identité, noms et prénoms, noms des parents, dates de naissance, numéros de compte bancaire, adresses de résidence ou de séjour, e-mail et numéro de téléphone. Selon l’entreprise, son employé a désactivé son programme anti-virus, ce qui a permis l’attaque. Selon l’administrateur, l’incident a toutefois été de courte durée et l’entreprise a réussi à récupérer l’accès aux données. Il a également reconnu que le but de l’attaque n’était pas d’obtenir des données, mais de faire du chantage. Elle a donc estimé qu’il n’y avait pas de risque élevé de violation des droits ou des libertés des personnes.

Au cours de l’enquête qui a suivi cette notification, l’UODO constaté un certain nombre de manquements :
* Absence de mesures techniques et organisationnelles appropriées permettant de minimiser le risque pour les données;
* Absence de vérification que le sous-traitant fournit des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées ;
* Notification incomplète des personnes concernées, et absence d’information des employés (anciens ou actuels) de la société concernés ;
* Non respect du principe de responsabilité : le responsable du traitement n’a pas été en mesure de démontrer que les mesures mises en place étaient adaptées aux risques, car il n’avait pas examiné ces derniers.

Conséquence pour l’entreprise : une amende de 80 000 euros environ. L
L’UODO ne s’est cependant pas arrêtée là et a relevé la responsabilité des associés de la société civile à laquelle le responsable du traitement a confié le traitement des données. Il a souligné qu’ils n’ont pas aidé le responsable du traitement à respecter son obligation de mettre en œuvre des mesures techniques et organisationnelles adéquates pour assurer la sécurité du traitement des données à caractère personnel.  Le sous-traitant a négligé au fil des ans d’informer l’administrateur des vulnérabilités présentes dans le logiciel du serveur (alors que l’une d’entre elles a été exploitée avec succès par les auteurs de l’action criminelle) et de la nécessité de mettre à niveau le système d’exploitation vers la dernière version possible, ou d’utiliser d’autres solutions logiques plus récentes. Elle se trouve alors également condamnée par l’UODO, mais à une amende plus légère (environ 2200 euros).

Disponible (en polonais) sur: uodo.gov.pl
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Picard victime d’une fuite de données, plusieurs milliers de clients concernés

Après l’annonce d’une cyberattaque chez Free, c’est au tour de Picard d’annoncer avoir été victime d’une fuite de données. Dans un email envoyé à 45 000 clients membres de son programme de fidélité, l’enseigne de surgelés annonce avoir détecté « un accès non autorisé » par un tiers, sans intrusion dans ses systèmes d’information. La Commission nationale de l’informatique et des libertés (Cnil) a été informée, comme l’exige la législation en vigueur. Cet incident de sécurité a pu entraîner « une perte de confidentialité » des données disponibles sur les comptes de fidélité. Sont concernés les noms, prénoms, date de naissance, adresse mail, adresse postale, numéro de téléphone, numéro de carte de fidélité, bons de réduction/avantages éventuels, historique des commandes, tickets de caisse ainsi que la liste d’achats et les favoris de produits. L’entreprise précise que les données bancaires n’ont pas été touchées.

Disponible sur: usine-digitale.fr

GPDP (autorité italienne)

L’autorité italienne donne à la plus grande banque italienne 20 jours pour informer ses clients de la violation des données qu’elle a subi

Dans un article publié ce jour, l’autorité italienne a annoncé avoir donné 20 jours à Intesa pour informer les clients concernés par la violation de leurs données personnelles et bancaires, survenue à la suite d’un accès indu de la part d’un employé de la banque aux données de plusieurs milliers de clients. L’Autorité considère, contrairement à l’évaluation de la banque, que la violation de données à caractère personnel présente un risque élevé pour les droits et libertés des personnes concernées, compte tenu de la nature de la violation, des catégories de données traitées, de la gravité et des conséquences qui pourraient en résulter (par exemple, divulgation d’informations concernant la situation financière, atteinte à la réputation).

L’autorité italienne note que, dans les premières communications envoyées par la Banque au Garante, l’ampleur de la violation n’avait pas été suffisamment mise en évidence, comme l’ont révélé par la suite tant les articles de presse que les commentaires fournis par la Banque elle-même. La Garante, qui se réserve le droit d’évaluer l’adéquation des mesures de sécurité adoptées dans le cadre d’une enquête en cours, a ainsi également ordonné à la Banque de fournir à l’Autorité, dans un délai de trente jours, un retour d’information suffisamment documenté sur les mesures prises pour mettre pleinement en œuvre les exigences.

[Ajout contextuel Portail RGPD: La presse note en particulier que les comptes de 3 500 clients d’Intesa Sanpaolo, y compris ceux de la Première ministre Giorgia Meloni et de l’ancien Premier ministre Mario Draghi, ont été potentiellement été compromis entre février 2022 et avril 2024 et ont été indument consultés par l’employé concerné. Normalement, les employés d’Intesa n’ont de visibilité que sur les clients dont ils ont besoin de voir les données pour exercer leurs fonctions. Néanmoins, du fait de sa fonction, l’employé concerné avait accès à de très nombreuses données, et en a profité.]

Disponible (en italien) sur: gpdp.it
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

PIPC (autorité coréenne)

La PIPC sanctionne deux entreprises pour violation de leurs obligations en matière de sécurité

L’autorité de protection des données coréennes (Président Ko Hak-soo, ci-après « PIPC ») a tenu sa 18e réunion plénière le 4 novembre (lundi) et a décidé d’imposer une amende totale de 60,69 millions de wons (environ 40 000 euros) et une amende administrative de 10,8 millions de wons (soit environ 7 000 euros) à deux entreprises ayant violé les réglementations sur la protection des données personnelles.

La première est   » Salaryman Rich People Co »  qui exploite un service de vidéo en ligne lié à la finance et à l’immobilier. Cette société a écopé d’une amende de 51,10 millions de wons et amende administrative de 2,70 millions de wons pour avoir fait fuiter les données de près de 110 000 personnes. Les résultats de l’enquête menée à la suite de la violation ont révélé que la société exploitait un système permettant d’accéder à la base de données uniquement par un serveur intermédiaire, sans mettre en place de pare-feu, et n’a pas restreint l’adresse IP pouvant accéder au serveur intermédiaire. De plus, il a été confirmé que Salaryman Rich People Co. permettait un accès à la base de données  à partir d’une source externe sans moyen d’authentification supplémentaire, simplement avec un identifiant et un mot de passe, et qu’il n’y avait même pas de mot de passe défini pour le compte administrateur de la base de données.

La seconde est Parkcha Company Co., exploitant d’une plateforme de courtage pour la vente de voitures de location d’occasion. Cette fois, la société a écopé d’une amende de 9,59 millions de wons et amende administrative de 8,10 millions de wons. La société Co. Parkcha Company a subi une attaque par injection SQL de la part de hackers, entraînant la fuite de données personnelles de 4 004 membres, y compris des informations sensibles telles que le grade d’invalidité des membres. Les résultats de l’enquête ont montré que Co. Parkcha Company n’avait pas mis en place des dispositifs de sécurité tels que des pare-feu pour prévenir les accès illégaux de l’extérieur, et n’a pas mis en œuvre de procédure de validation des entrées pour prévenir les attaques par injection SQL, ce qui a conduit à la fuite de données personnelles. En outre, il a été établi que Co. Parkcha Company ne détruisait pas les données personnelles dont la période de conservation était écoulée et que des numéros de compte personnels étaient stockés sans cryptage. Il a également été confirmé que l’entreprise avait tardé à notifier la fuite de données personnelles.

Disponible (en coréen) sur: pipc.go.kr
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Cybersécurité : Schneider Electric victime d’une nouvelle fuite de données

Schneider Electric a annoncé le 4 novembre qu’elle enquêtait sur un “incident de cybersécurité impliquant un accès non autorisé” touchant l’une de ses “plateformes internes de suivi de l’exécution de projets”, a révélé le média spécialisé Bleeping Computer. La société précise que le fonctionnement de ses produits et services n’est pas impacté et qu’elle a mobilisé “immédiatement” une équipe pour répondre à l’incident. Cette déclaration fait suite à un message publié sur X (ex-Twitter) par un acteur malveillant dénommé “Grep”, dans lequel il assurait disposer de privilèges administrateur sur un système interne appartenant à Schneider Electric. Le hacker serait lié au gang de ransomware Hellcat, qui a revendiqué sur le dark web le piratage du serveur Atlassian Jira de la société française.

Disponible sur: usine-digitale.fr

L’Usine digitale

Cybersécurité : Sofinco victime d’une fuite de données, des informations bancaires exposées

Sofinco, filiale du Crédit agricole spécialisée dans les prêts à la consommation, a prévenu certains clients le 16 octobre d’une fuite de données personnelles. Elle affirmait alors avoir détecté une “atteinte à la sécurité de [ses] systèmes informatiques”, avant d’ajouter que certaines données personnelles avaient été exposées. La société, qui compte 11 millions de clients, précise que les données personnelles exfiltrés peuvent comprendre des coordonnées postales et bancaires, mais aussi des copies de pièces d’identité. Elle a par la suite confirmé à Ouest-France que les données avaient été obtenues suite à un incident touchant l’un de ses partenaires, et que la fuite ne concernait qu’une “quantité infime” de clients.

Disponible sur: usine-digitale.fr

AEPD (autorité espagnole)

Une PME condamnée à 3000 euros d’amende pour avoir mal paramétré la liste des destinataires de son mail

L’AEPD a annoncé avoir prononcé une amende de 3000 euros à l’encontre d’une entreprise pour avoir failli à son obligation de sécurité et de confidentialité des données. Comme souvent, cette affaire commence avec une réclamation auprès de l’AEPD en date du 11 mai 2023, le plaignant accusant CLIDEA DESARROLLO, S.A. d’avoir divulgué les adresses e-mail de 349 destinataires, tous travailleurs indépendants pour l’entreprise. Le plaignant a signalé que l’entreprise avait envoyé un e-mail collectif sans utiliser la fonction de copie cachée, rendant visibles les adresses e-mail à tous les destinataires. De plus, ces adresses e-mail contenaient souvent des informations personnelles, telles que des noms et prénoms.

L’enquête menée par l’autorité espagnole a confirmé que CLIDEA DESARROLLO, S.A. avait manqué à son obligation de protéger la confidentialité des données en ne respectant pas l’article 5.1.f) du RGPD, qui exige une sécurité adéquate des données personnelles. L’absence de copie cachée a entraîné la divulgation non autorisée d’informations personnelles, compromettant ainsi la confidentialité des données des destinataires. L’AEPD a également noté que l’entreprise avait failli à son obligation de mise en œuvre des mesures techniques appropriées, conformément à l’article 32 du RGPD, pour éviter une telle divulgation.

En conséquence, l’AEPD  une amende totale de 3 000 € à CLIDEA DESARROLLO, S.A., pour violation du principe de confidentialité des données (article 5) et manquement au principe de sécurité (article 32). Selon la procédure espagnole, l’autorité a offert à l’entreprise la possibilité de réduire l’amende de 20 % en cas de reconnaissance de responsabilité et de paiement volontaire, ce qui ramènerait le total à 1 800 €. CLIDEA DESARROLLO, S.A. a effectué le paiement avec réduction, mettant ainsi fin à la procédure tout en renonçant à tout recours administratif contre la sanction.

Disponible (en espagnol) sur: aepd.es
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

L’Usine digitale

Le groupe de santé Hospi Grand Ouest victime d’une cyberattaque, des services perturbés

Hospi Grand Ouest, groupe de santé gérant neuf cliniques et centres de soins en Bretagne et Pays de la Loire, a été touché dans la nuit du 3 au 4 octobre par une cyberattaque. La direction du groupe précise que cette attaque informatique s’est cantonnée à la clinique de La Sagesse, à Rennes, qui comprend notamment une maternité et de nombreux services de chirurgie. L’étendue de la cyberattaque n’est, pour l’heure, pas officiellement connue, tout comme sa nature. D’après Ouest-France, les hackers à l’origine de l’attaque auraient toutefois réclamé une rançon le 5 octobre à la direction du groupe, ce qui s’apparenterait alors à une fuite de données.

Disponible sur: usine-digitale.fr

Retour en haut