Actualités

🚨 Espagne, une Chaîne de supermarchés français sanctionnée :
Faute d’avoir corrigé toutes les failles identifiées par les pentests.

Régulateur : AEPD
Source : ps-00128-2024

🔍 Contexte :
Entre octobre 2022 et septembre 2023, la chaîne de supermarchés a subi cinq attaques de credential-stuffing qui ont permis l’accès frauduleux à 118 895 comptes clients et l’usage indu des bons « chequeAhorro ».
Des pentests internes 2022-2023 avaient déjà signalé plusieurs failles (mot de passe faible, absence de MFA, détection d’anomalies insuffisante), mais la plupart des correctifs n’ont pas été déployés ou l’ont été très tard.

⚖️Sanction :  
L’autorité espagnole de protection des données (AEPD) a donc retenu la violation des articles 5 -1 f, 32 et 34 RGPD, infligeant 3,2 M € d’amende et imposant à la Chaîne de supermarchés de notifier individuellement tous les clients concernés dans le mois suivant la décision.

💡 Enseignements opérationnels
- Credential-stuffing = votre risque
L’AEPD considère que la compromission de comptes via des identifiants réutilisés reste la responsabilité du responsable de traitement tant qu’il n’a pas mis en place MFA, détection d’anomalies et limitation de tentatives.

- Pentest « boîte grise » ≠ excuse
La chaîne arguait que certaines failles n’étaient visibles qu’après désactivation de contrôles ; l’Autorité répond : le risque démontré → obligation de corriger.

- Double volet 5 -1 f + 32
Lorsque des données sont effectivement exposées et que les contrôles étaient insuffisants, l’AEPD sanctionne deux articles cumulés, articles 5 et 32.

- Notification clients : pas juste un e-mail générique !
Le contenu doit expliquer : nature de la brèche, catégories de données, conséquences potentielles, mesures prises et à prendre, contact DPO (art. 34-2).