L’UODO, équivalente polonaise de notre CNIL, a infligé une amende de 2,8 millions PLN (sot 640 430 euros) à l’encontre d’un site de ventes de matériel informatique.
2,2 millions d’utilisateurs du site Morele.net avaient vu leurs informations personnelles s’évaporer dans la nature. Selon l’autorité de contrôle, les mesures organisationnelles et techniques destinées à assurer la protection des données n’étaient pas suffisantes.
De même, « le site manquait de procédures appropriées pour faire face à l'émergence d'un trafic réseau inhabituel » prévient l’UODO qui a également tenu compte des risques pesant depuis pour les victimes.
Ces données concernaient les nom, prénom, numéro de téléphone, email et adresse de livraison. Pour 35 000 personnes qui avaient déposé un dossier de prêt, s’y ajoutaient le numéro de la pièce d’identité, les revenus, la situation matrimoniale, leurs obligations alimentaires, etc.
Pour déterminer le montant de l’amende, le président de l’UODO a pris en compte plusieurs circonstances atténuantes, comme la réactivité de la société et sa bonne coopération.
Le RGPD impose à son l'article 5 que les données personnelles soient « traitées de façon à garantir une sécurité appropriée ». Le responsable doit dès lors mettre en place les moyens nécessaires pour prévenir les risques à l'aide de mesures techniques ou organisationnelles adéquates.
Commentaires (2)
#1
J’aime bien la métaphore des données “évaporées dans la nature”. C’est rassurant, ça donne l’impression qu’elles ont définitivement disparues, et que personne ne pourra jamais les exploiter.
#2
Dommage que cela soit en “my tailor is rich” parce que le sujet des “procédures appropriées pour faire face à l’émergence d’un trafic réseau inhabituel” intéresse pas mal de monde pour enfin pouvoir formaliser une méthodologie de réaction perçues par les CNILs comme adaptées aux menaces.