Actualités

Source : PS/00477/2023

Une banque a permis l’accès non autorisé d’un compte bancaire conjoint à un tiers (la mère d’une des titulaires), sans le consentement des deux co-titulaires.
📌 Cela constitue une violation du principe de confidentialité et sécurité des données.

❌Mauvaise configuration du droit d’accès
La configuration ou l’absence de limitation du périmètre d’accès a entraîné un accès non autorisé aux données.

La banque a reconnu que la configuration des accès permettait à la mère de voir les produits bancaires de la fille et du cotitulaire alors qu’elle n’avait aucun droit sur ces produits.

📌 Demandes répétées des plaignants :
A plusieurs reprises, la plaignante a signalé l’accès non autorisé à la banque, mais l’incident a persisté dans le temps, ce qui a renforcé la responsabilité de la banque.

📜 Articles enfreints

• Article 5.1.f RGPD : Données non traitées de manière à garantir une sécurité adéquate (intégrité & confidentialité)​.
• Article 25 RGPD : Défaut de protection des données dès la conception – une faille dans la configuration de la banque en ligne a permis l’accès non autorisé​.

💶 Sanction

Montant total : 3 500 000 €

🔹 500 000 € pour la violation de l’article 5.1.f RGPD (intégrité et confidentialité des données) — qualifiée de très grave
🔹 3 000 000 € pour la violation de l’article 25 RGPD (protection des données dès la conception et par défaut) — également qualifiée de grave
❌ L’infraction à l’article 32 RGPD (sécurité du traitement) a été classée sans suite dans cette décision.

Justifiée par l'impact sur tous les utilisateurs de la banque en ligne, pas seulement sur les plaignants.

Absence de mesures techniques et organisationnelles adaptées = manquement grave.