Actualités

🚨 Pologne : American Heart of Poland SA sanctionnée pour des manquements graves à la sécurité des données 🚨

La société American Heart of Poland SA a été victime d’un piratage entraînant une fuite de données personnelles concernant 21 000 personnes. L’entreprise a mal évalué les risques liés à la sécurité des données et n’a pas respecté sa propre politique de sécurité pendant la pandémie.

Faits :

Violations identifiées :

1. Violation de l’article 5(1)(f) du RGPD : Sécurité des données
   Des personnes non autorisées ont eu accès à un large éventail de données personnelles, notamment :

• Identité : noms, prénoms, prénoms des parents, nom de jeune fille de la mère, date de naissance.
• Données financières : revenus, patrimoine, numéros de comptes bancaires.
• Données sensibles : résultats de tests COVID, autres données médicales.
• Autres informations : numéros d’identification personnel (PESEL), identifiants utilisateurs et mots de passe, série et numéro de carte d’identité, numéros de téléphone, adresses e-mail, et adresses physiques.

L’article 5(1)(f) stipule que les données doivent être traitées de manière à garantir leur sécurité, en les protégeant contre tout traitement non autorisé ou illicite, ainsi que contre la perte ou la destruction accidentelle.

2. Violation des articles 32 d et 24 du RGPD : Sécurité et responsabilité du responsable de traitement

• Article 32 d : Le responsable de traitement doit tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité. L’entreprise n’a pas mis en œuvre de procédure pour garantir l’efficacité de ces mesures.
• Article 24 : L’entreprise n’a pas démontré qu’elle respectait les mesures techniques et organisationnelles nécessaires pour protéger les données.

Constatations :

• L’analyse d’impact sur la protection des données (AIPD) n’a pas été menée correctement.
• Les résultats des tests COVID des clients ont été stockés sur le réseau général de l’entreprise, au lieu d’un système sécurisé et dédié aux données de santé.
• La plateforme cloud utilisée était mal sécurisée.
• Les serveurs et logiciels n’avaient pas été mis à jour, laissant des vulnérabilités exploitées par les hackers.

L’Autorité de Protection des Données rappelle que l’analyse des risques doit être réelle et pertinente, et non simplement un exercice de conformité formelle.

Conséquences :

• Amende administrative : 330 000 euros.
• Atteinte à la réputation : La confiance envers l’entreprise a été sérieusement affectée.
• Mise en conformité : L’entreprise doit désormais renforcer ses politiques de sécurité et se conformer au RGPD.

🔧 Bonnes Pratiques RGPD

Pour éviter de telles sanctions, les entreprises doivent :

• Mettre en œuvre des mises à jour régulières des logiciels et serveurs : Réduisez les vulnérabilités en appliquant les correctifs de sécurité dès leur publication.
• Protéger les données sensibles : Stockez les données médicales sur des systèmes dédiés et hautement sécurisés.
• Effectuer des analyses de risques rigoureuses : Identifiez les menaces réelles et appliquez des mesures de sécurité adaptées.
• Tester l’efficacité des mesures de sécurité : Mettez en place des évaluations régulières pour détecter et corriger les failles.
• Former les employés : Assurez-vous que le personnel est sensibilisé aux meilleures pratiques de cybersécurité et aux obligations RGPD.