Actualités

Source : PS-00117-2024

📢 Une célèbre compagnie d’assurance a commis une erreur majeure…

📌 Faits

• 📅 Incident de sécurité : Le 11 mai 2023, la compagnie a envoyé par courrier postal une clé USB chiffré contenant les données personnelles de 143 personnes, y compris des moyens de paiement.
• ❗ Erreur majeure : La clé de déchiffrement était jointe dans le même courrier, ce qui a compromis la sécurité des données.
  Le courrier est revenu vide sans le code ni la clé, signe probable d’une perte ou d’un vol.

🔎 Manquements reprochés

• Violation de l’article 32 du RGPD : défaut de mise en œuvre de mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque.
• ❌ Code dans le même envoi que la clé usb chiffrée.
• ❌ Manque de procédure efficace pour prévenir ce type de manquement.

🧯 Mesures prises par la compagnie d’assurance

• 📄 Procédures internes en place (interdiction d’envoyer une clé usb avec le code).
• 💻 Formation régulière des employés à la sécurité.
• 👥 Sensibilisation de l’employé fautif.
• 🔍 Surveillance du dark web pour détecter un éventuel usage frauduleux des données.
• 📩 Notification aux personnes concernées.
• 📈 Suivi par le DPO et l’équipe de cybersécurité.
• 📨 Changement de prestataire de transport (SEUR remplacé par Correos).

⚖️ Sanction

• 💸 Montant initial de la sanction : 100 000 €
• ✅ Réduction pour paiement volontaire : 80 000 €
• ✅ Pas de reconnaissance de responsabilité
• 📆 L’amende a été payée le 17 juin 2024, mettant fin à la procédure.

📢 Mesures correctrices imposées

• Obligation pour la compagnie d’assurance et SEUR de notifier, sous 2 mois, les mesures concrètes prises pour garantir la confidentialité, restaurer l’accès aux données, et vérifier l'efficacité des mesures techniques.