Actualités

L’APD polonaise sanctionne un responsable de traitement et son sous-traitant

Source : DKN 5130.2215.2020

Faits

L’Autorité polonaise de protection des données (APD) a infligé des amendes pour des manquements graves à la sécurité des données personnelles :

• 1 million d’euros pour le responsable de traitement : Fortum Marketing and Sales Polska SA, fournisseur d’électricité et de gaz.
• 53 000 euros pour le sous-traitant : PIKA, prestataire d’archivage numérique.
  
  

Suite à un problème de lenteur dans le système de recherche des archives, PIKA a effectué une opération technique sur la base de données. À cause de mesures de sécurité inadéquates, un tiers a pu accéder au système et copier les données personnelles de 137 314 personnes.

Données compromises

Les informations concernées comprenaient :

• 👤 Nom et prénom
• 🏠 Adresse résidentielle ou de résidence
• 📝 Numéro PESEL, type, série et numéro d’un document d'identité
• ✉️ Adresse e-mail
• 📞 Numéro de téléphone
• 🔒 Données contractuelles

Malgré la gravité des faits, Fortum a jugé inutile d'informer les personnes concernées, estimant que la violation ne comportait pas de risques pour leurs droits et libertés.

Manquements relevés

1. Violation de l'article 32(1) et 32(2) du RGPD :
• Absence de mesures techniques et organisationnelles appropriées pour garantir la sécurité des données.
2. Non-respect de l'article 28(1) du RGPD :
• PIKA n’a pas suivi les directives du responsable de traitement, notamment concernant la pseudonymisation des données.
• Fortum n’a pas vérifié que son sous-traitant offrait des garanties suffisantes pour protéger les données personnelles.

Conséquences

• Amendes administratives, le 19 janvier 2022 :
• 💸 1 million d’euros pour Fortum (responsable de traitement).
• 💸 53 000 euros pour PIKA (sous-traitant).
• 🔗 Atteinte à la réputation des deux entités.