Actualités

Source : PS-00453-2023

? Les faits
? Octobre 2022 : Une cyberattaque ? a compromis les données personnelles de 1,6 million de personnes.
? Méthode : Attaque par force brute ? sur une application interne de gestion de clientèle, via des identifiants compromis d’un courtier.

? Données exposées :

• ?? Noms et adresses
• ? Numéros de téléphone
• ? Coordonnées bancaires issues des contrats d’assurance

?? Failles de sécurité identifiées
? Pas d’authentification multifactorielle (MFA) ??
? Conservation des données au-delà du délai légal ??

? Violations constatées par l’AEPD
? Défaut de sécurité des données ?? (Art. 5-1 f & 32 du RGPD)
? Le responsable de traitement doit garantir la confidentialité et sécurité des données.

? Manquement au "Privacy by Design" ?? (Art. 25 du RGPD)
? Protection des données dès la conception du système.

? Absence d’analyse d’impact ? (Art. 35 du RGPD)
? Une analyse d’impact est obligatoire si les traitements présentent un risque pour les droits et libertés des personnes concernées.

? Sanctions
? Sanction administrative : 5M€, réduite à 4M€ après ajustement.
? Injonction de réaliser une analyse d’impact sous 3 mois.

? Conclusion
? Cette affaire rappelle l'importance de sécuriser les accès, de respecter les durées de conservation et d'anticiper les risques via des analyses d’impact.