Actualités

🇫🇮🔐 Finlande-Secteur Bancaire : quand 47 minutes coûtent 865 000 €
Violation de données personnelles à la suite de la modification de paramètres d’un logiciel d’authentification

📌 Les faits :

❗Problématique rencontrée : Lorsque deux clients ou plus se sont connectés en simultané au service d’identification, ces personnes ont eu accès aux données de tiers (nom, données personnelles, santé, finances, prestations sociales), avec possibilité d’effectuer des transactions.
Service en cause : la forte identification électronique (e-ID) via les identifiants bancaires, utilisée pour accéder à des services tiers (autorités, caisses, assurances, santé…).
Non concerné : l’accès direct à la banque en ligne.
🧑‍🤝‍🧑 Personnes touchées : env. 350 clients.
🕒 Temporalité : de 9h03 à 9h50, le 24 janvier 2023.

💶 Sanction : 865 000 € d’amende + rappel sévère sur les obligations de sécurité & tests. Décision non définitive (La banque conteste).

🚨 Manquements observés au RGPD :

·       Article 5(1)(f) : intégrité & confidentialité non garanties → l’erreur d’identification a permis l’accès potentiel aux données de tiers.
·       Article 25(1) : absence de protection des données dès la conception/par défaut → changement technique sans analyse de risques ni tests suffisants.
·       Article 32 : mesures techniques & organisationnelles insuffisantes → gestion du changement, tests, contrôles automatisés et surveillance inadaptés au niveau de risque.

⚙️ Le message pour les banques & services e-ID :
🧩 Un simple changement technique mal maîtrisé dans un service d’identification peut suffire à :

·       compromettre la confiance,
·       exposer des données ultra-confidentielles,
·       démontrer l’absence de tests end-to-end,
·       d’un défaut de privacy by design /by default.