Actualités

🏥 🇩🇪 Hôpital allemand : 20 000 euros d’amende pour une fuite de données 🏥 🇩🇪

DPA : Autorité de protection des données du Land de Bade-Wurtemberg (Allemagne)
Manquement constaté : Article 32 paragraphe 1 du RGPD – Sécurité du traitement

📢 Contexte
En novembre 2018, le réseau social allemand Knuddels a été sanctionné par la DPA d’une amende de 20 000 euros.

La violation concernait l'article 32, paragraphe 1 du RGPD, relatif à la sécurité des données personnelles.

Malgré un montant relativement faible par rapport à d’autres cas (comme l’hôpital de Barreiro au Portugal), l’autorité a pris en compte :

• La transparence de l’entreprise.
• La coopération avec les autorités.
• La rapidité à implémenter des mesures correctives après la violation.

Les faits :

• Stockage non sécurisé des mots de passe :
  Knuddels stockait des mots de passe en clair (non chiffrés).
• Hack de juillet 2018 :
• Près de 2,7 millions d’informations privées ont été volées et publiées en ligne en septembre 2018.
• Les données compromises incluaient :
• Mots de passe des utilisateurs.
• Pseudonymes.
• Adresses e-mail.
• Informations personnelles comme les prénoms ou lieux de résidence.
• Réaction post-attaque :
• L’entreprise a rapidement informé l’autorité de protection des données et ses utilisateurs.
• Les utilisateurs ont été invités à changer leurs mots de passe, notamment si ces derniers étaient similaires sur d’autres sites.

Conséquences :

• Amende administrative : 20 000 euros.
• Collaboration et transparence : Ces éléments ont permis de réduire l’impact de la sanction.

Pour éviter de telles sanctions, les entreprises doivent :

1. Assurer le chiffrement des mots de passe et des données sensibles.
2. Mettre en place des mesures de sécurité robustes pour prévenir les attaques.
3. Informer rapidement les autorités et les utilisateurs en cas de violation.
4. Former leurs équipes sur les obligations légales liées à la sécurité des données.