Actualités

Source : PS-00453-2023

🔴 Les faits
📅 Octobre 2022 : Une cyberattaque 💻 a compromis les données personnelles de 1,6 million de personnes.
🔓 Méthode : Attaque par force brute 🎯 sur une application interne de gestion de clientèle, via des identifiants compromis d’un courtier.

📂 Données exposées :

• 🏷️ Noms et adresses
• 📞 Numéros de téléphone
• 💳 Coordonnées bancaires issues des contrats d’assurance

⚠️ Failles de sécurité identifiées
🔹 Pas d’authentification multifactorielle (MFA) ❌🔑
🔹 Conservation des données au-delà du délai légal ⏳📂

📜 Violations constatées par l’AEPD
📌 Défaut de sécurité des données 🛡️ (Art. 5-1 f & 32 du RGPD)
💡 Le responsable de traitement doit garantir la confidentialité et sécurité des données.

📌 Manquement au "Privacy by Design" ⚙️ (Art. 25 du RGPD)
🔧 Protection des données dès la conception du système.

📌 Absence d’analyse d’impact 📊 (Art. 35 du RGPD)
📉 Une analyse d’impact est obligatoire si les traitements présentent un risque pour les droits et libertés des personnes concernées.

🚨 Sanctions
💶 Sanction administrative : 5M€, réduite à 4M€ après ajustement.
⏳ Injonction de réaliser une analyse d’impact sous 3 mois.

🔍 Conclusion
👉 Cette affaire rappelle l'importance de sécuriser les accès, de respecter les durées de conservation et d'anticiper les risques via des analyses d’impact.