Actualités

🇮🇹🚨 Un employé de banque curieux accède illégalement à 6 637 dossiers pendant 460 jours

📢 Ordre d’informer les clients concernés par ces accès non autorisés
📄 Source : 10070521

🏦 Contexte

La banque Intesa Sanpaolo a découvert qu’un de ses employés avait accédé aux données de 9 personnes qui n’étaient pas clientes de l’agence où il travaillait.

🔍 L’employé a consulté ces comptes par "simple curiosité".
🔎 Après un audit interne, l’entreprise a mis fin à son contrat.

📅 Le 17 juillet 2024, la banque a signalé la violation de données à l’autorité de protection des données (APD), conformément à l’article 33 du RGPD.

⚠️ Manquement à l’obligation d’information des personnes concernées

📌 La banque a estimé que cette violation ne représentait pas de risque élevé pour les personnes concernées, et n’a donc pas informé les clients, en violation de l’article 34(1) du RGPD.

🔎 Révélations ultérieures : 6 637 accès non autorisés

📅 Le 10 octobre 2024, une enquête journalistique révèle que l’employé avait accédé illégalement aux comptes de 3 572 personnes supplémentaires entre février 2022 et avril 2024, parmi lesquelles :
• 👩‍⚖️ La sœur et l’ex-compagne du Premier ministre
• 🏛️ Des ministres, le président du Sénat et le procureur national anti-mafia

🔐 Décision de l’APD

📜 L’APD estime que la banque aurait dû informer les personnes concernées.

📢 Conformément aux articles 34(4) et 58(2)(e) du RGPD, l’APD ordonne à la banque de :
✅ Informer les clients concernés sans délai, dans un délai maximum de 20 jours
✅ Veiller à ce que ces notifications soient faites personnellement par les employés de la banque dans l’agence d’origine du compte
✅ Documenter ces notifications par écrit, conformément à l’article 5(2) du RGPD

⚖️ Conclusion

❗ La banque aurait dû agir plus tôt pour alerter ses clients concernant ces accès non autorisés.
🔎 Ce cas met en lumière l’importance du contrôle des accès et de la transparence dans la gestion des données bancaires.