Actualités

🇫🇷 Données accessibles sur un serveur

Sous-traitance, Confidentialité & Sécurité | 27/03/2025

Source : SAN 2021-20

🔒 Des données bancaires laissées sur un serveur : un prestataire sanctionné de 180 000 euros

Une société de prestation de service de paiement a été condamnée par la CNIL à une amende de 180 000 euros pour de graves manquements à la protection des données personnelles.

Faits :

  • En 2015, la société a réutilisé des données personnelles issues de ses bases pour des tests internes.
  • Les données de 12 millions de personnes sont restées stockées sur un serveur non sécurisé, librement accessible depuis Internet.
  • Cette situation a perduré de 2015 à 2020, en l’absence de procédures de sécurité adaptées.

Violations constatées :

  1. Article 32 du RGPD : Sécurité des traitements
    • Le responsable de traitement n’a pas pris les mesures nécessaires pour garantir :
      • La confidentialité
      • L’intégrité
      • La disponibilité
      • La résilience des systèmes et services de traitement.
  2. Article 28(3) du RGPD : Sous-traitance
    • Les contrats de sous-traitance n’étaient pas correctement formalisés.
    • Ils ne contenaient pas les clauses adéquates pour garantir que les sous-traitants respectent le RGPD lors du traitement des données personnelles.
  3. Article 34 du RGPD : Notification aux personnes concernées
    • Le responsable de traitement n’a pas informé les personnes concernées de la violation des données, alors qu’il y avait un risque élevé pour leurs droits et libertés.

Contrôle et coopération européenne :

La CNIL a effectué un contrôle en 2020.
Les personnes affectées résidant dans plusieurs pays de l’UE, la CNIL a coopéré avec les autorités de contrôle :

  • Allemagne
  • Espagne
  • Italie
  • Pays-Bas

Conséquences :

  • Amende administrative : 180 000 euros.
  • Décision publique : Impact sur la réputation de l’entreprise.

Pour éviter de telles sanctions, les entreprises doivent :

  • Garantir la sécurité des données : Protéger les systèmes avec des mesures techniques et organisationnelles adaptées.
  • Formaliser les contrats de sous-traitance : Inclure des clauses précises pour assurer la conformité des sous-traitants au RGPD.
  • Notifier les violations de données : Informer rapidement les personnes concernées en cas de risque pour leurs droits et libertés.
  • Limiter l’utilisation des données : Éviter la réutilisation de données personnelles sans garanties strictes, même pour des tests internes.
Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité