[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"article_52918":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":7,"metaDescription":7,"wordCount":8,"readTime":9,"title":10,"nbDownloads":11,"excerpt":12,"lang":13,"url":14,"intro":15,"featured":4,"state":16,"author":17,"authorId":18,"datePublication":22,"dateCreation":23,"dateUpdate":24,"mainCategory":25,"categories":40,"metaDatas":46,"imageUrl":47,"imageThumbUrls":48,"id":56},false,"Le Commissaire britannique à l’information (ICO) inflige une amende de 4,4 millions de Livres à l’entreprise **Interserve** pour avoir **failli à son obligation de protéger et sécuriser les informations personnelles de son personnel**. \r\n\r\n> **Depuis le brexit, la Grande Bretagne a repris à son compte le RGPD (UKGDPR) dont les obligations sont similaires au RGPD.**\r\n\r\nL’ICO émet par la même occasion un **avertissement** à toutes les entreprises qui, **ignorant des mesures cruciales** telles que la mise à jour des logiciels et la formation du personnel, **s'exposent ainsi aux cyberattaques**. \r\n\r\nLe commissaire à l’information du Royaume-Uni a ainsi rappelé que :\r\n\r\n> « ***le plus grand cyber-risque est la complaisance, pas les pirates*** ».\r\n\r\n\r\n\r\n## Les manquements établis par le Commissaire à l'Information britannique\r\n\r\nDans cette affaire, l’ICO a constaté que l'entreprise n'avait **pas mis en place les mesures de sécurité appropriées pour empêcher une cyberattaque**, ce qui a permis aux pirates d'accéder aux données personnelles de **113 000** employés via un **e-mail de phishing**. \r\n\r\nPlus précisément, L'enquête de l'ICO a révélé qu'Interserve n'avait :\r\n- **pas donné suite à l'alerte initiale d'une activité suspecte**, \r\n- utilisait des systèmes logiciels et des protocoles **obsolètes**, \r\n- manquait de **formation adéquate** du personnel \r\n- et présentait un **processus d'évaluations des risques** insuffisant, ce qui les rendait finalement vulnérables à une cyberattaque. \r\n\r\nInterserve a **enfreint la loi** sur la protection des données en omettant de mettre en place les mesures techniques et organisationnelles appropriées pour **empêcher l'accès non autorisé aux informations des personnes**.\r\n\r\nLes données compromises comprenaient des **informations personnelles** telles que les coordonnées, les numéros d'assurance nationale et les coordonnées bancaires, ainsi que des **données particulièrement sensibles**, notamment l'origine ethnique, la religion, les détails de tout handicap, l'orientation sexuelle et les informations sur la santé.\r\n\r\n\r\n## Rappel des grands principes en matière de sécurité des données\r\n\r\nRappelons ici que la sécurité des données est un **[volet essentiel du RGPD](https://www.dastra.eu/fr/guide/mesure-technique-et-organisationnelle-de-securite--rgpd/367)** et une **obligation qui pèse sur tout responsable de traitement et sous-traitant**. \r\n\r\nLa sécurité est en outre un **processus continu** et les mesures doivent être **régulièrement revues et ajustées** en fonction de l’évolution des risques. \r\n\r\nL’obligation de mise en conformité répond à une logique d’***accountability*** (ou responsabilisation) qui doit être **dynamique et globale**. \r\n\r\nPour aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, la **CNIL a publié un [guide](https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles)** qui rappelle les **précautions élémentaires qui devraient être mises en œuvre de façon systématique**.\r\n\r\n\r\nPour aller plus loin, il est aussi possible de réaliser une **[analyse d'impact relative à la protection des données (AIPD)](https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499)** qui est un outil d’évaluation d’impact sur la vie privée. \r\n\r\nL’AIPD repose sur 2 piliers :   \r\n-\tLes **principes et droits fondamentaux, « non négociables »**, fixés par la loi. Ils **ne peuvent faire l’objet d’aucune modulation,** quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;\r\n-\tLa **gestion des risques sur la vie privée des personnes concernées**, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.\r\n\r\n\r\nPour finir, il est important de souligner que le RGPD impose aux responsables de traitement de **documenter, en interne, les violations de données personnelles** et de **notifier, dans les 72 heures**, les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.\r\n","\u003Cp>Le Commissaire britannique à l’information (ICO) inflige une amende de 4,4 millions de Livres à l’entreprise \u003Cstrong>Interserve\u003C/strong> pour avoir \u003Cstrong>failli à son obligation de protéger et sécuriser les informations personnelles de son personnel\u003C/strong>.\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>\u003Cstrong>Depuis le brexit, la Grande Bretagne a repris à son compte le RGPD (UKGDPR) dont les obligations sont similaires au RGPD.\u003C/strong>\u003C/p>\r\n\u003C/blockquote>\r\n\u003Cp>L’ICO émet par la même occasion un \u003Cstrong>avertissement\u003C/strong> à toutes les entreprises qui, \u003Cstrong>ignorant des mesures cruciales\u003C/strong> telles que la mise à jour des logiciels et la formation du personnel, \u003Cstrong>s'exposent ainsi aux cyberattaques\u003C/strong>.\u003C/p>\r\n\u003Cp>Le commissaire à l’information du Royaume-Uni a ainsi rappelé que :\u003C/p>\r\n\u003Cblockquote>\r\n\u003Cp>« \u003Cem>\u003Cstrong>le plus grand cyber-risque est la complaisance, pas les pirates\u003C/strong>\u003C/em> ».\u003C/p>\r\n\u003C/blockquote>\r\n\u003Ch2 id=\"les-manquements-etablis-par-le-commissaire-a-linformation-britannique\">Les manquements établis par le Commissaire à l'Information britannique\u003C/h2>\r\n\u003Cp>Dans cette affaire, l’ICO a constaté que l'entreprise n'avait \u003Cstrong>pas mis en place les mesures de sécurité appropriées pour empêcher une cyberattaque\u003C/strong>, ce qui a permis aux pirates d'accéder aux données personnelles de \u003Cstrong>113 000\u003C/strong> employés via un \u003Cstrong>e-mail de phishing\u003C/strong>.\u003C/p>\r\n\u003Cp>Plus précisément, L'enquête de l'ICO a révélé qu'Interserve n'avait :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>\u003Cstrong>pas donné suite à l'alerte initiale d'une activité suspecte\u003C/strong>,\u003C/li>\r\n\u003Cli>utilisait des systèmes logiciels et des protocoles \u003Cstrong>obsolètes\u003C/strong>,\u003C/li>\r\n\u003Cli>manquait de \u003Cstrong>formation adéquate\u003C/strong> du personnel\u003C/li>\r\n\u003Cli>et présentait un \u003Cstrong>processus d'évaluations des risques\u003C/strong> insuffisant, ce qui les rendait finalement vulnérables à une cyberattaque.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Interserve a \u003Cstrong>enfreint la loi\u003C/strong> sur la protection des données en omettant de mettre en place les mesures techniques et organisationnelles appropriées pour \u003Cstrong>empêcher l'accès non autorisé aux informations des personnes\u003C/strong>.\u003C/p>\r\n\u003Cp>Les données compromises comprenaient des \u003Cstrong>informations personnelles\u003C/strong> telles que les coordonnées, les numéros d'assurance nationale et les coordonnées bancaires, ainsi que des \u003Cstrong>données particulièrement sensibles\u003C/strong>, notamment l'origine ethnique, la religion, les détails de tout handicap, l'orientation sexuelle et les informations sur la santé.\u003C/p>\r\n\u003Ch2 id=\"rappel-des-grands-principes-en-matiere-de-securite-des-donnees\">Rappel des grands principes en matière de sécurité des données\u003C/h2>\r\n\u003Cp>Rappelons ici que la sécurité des données est un \u003Cstrong>\u003Ca href=\"https://www.dastra.eu/fr/guide/mesure-technique-et-organisationnelle-de-securite--rgpd/367\">volet essentiel du RGPD\u003C/a>\u003C/strong> et une \u003Cstrong>obligation qui pèse sur tout responsable de traitement et sous-traitant\u003C/strong>.\u003C/p>\r\n\u003Cp>La sécurité est en outre un \u003Cstrong>processus continu\u003C/strong> et les mesures doivent être \u003Cstrong>régulièrement revues et ajustées\u003C/strong> en fonction de l’évolution des risques.\u003C/p>\r\n\u003Cp>L’obligation de mise en conformité répond à une logique d’\u003Cem>\u003Cstrong>accountability\u003C/strong>\u003C/em> (ou responsabilisation) qui doit être \u003Cstrong>dynamique et globale\u003C/strong>.\u003C/p>\r\n\u003Cp>Pour aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, la \u003Cstrong>CNIL a publié un \u003Ca href=\"https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles\" rel=\"nofollow\">guide\u003C/a>\u003C/strong> qui rappelle les \u003Cstrong>précautions élémentaires qui devraient être mises en œuvre de façon systématique\u003C/strong>.\u003C/p>\r\n\u003Cp>Pour aller plus loin, il est aussi possible de réaliser une \u003Cstrong>\u003Ca href=\"https://www.dastra.eu/fr/guide/guide-pratique-analyse-impact-protection-des-donnees/499\">analyse d'impact relative à la protection des données (AIPD)\u003C/a>\u003C/strong> qui est un outil d’évaluation d’impact sur la vie privée.\u003C/p>\r\n\u003Cp>L’AIPD repose sur 2 piliers :\u003C/p>\r\n\u003Cul>\r\n\u003Cli>Les \u003Cstrong>principes et droits fondamentaux, « non négociables »\u003C/strong>, fixés par la loi. Ils \u003Cstrong>ne peuvent faire l’objet d’aucune modulation,\u003C/strong> quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;\u003C/li>\r\n\u003Cli>La \u003Cstrong>gestion des risques sur la vie privée des personnes concernées\u003C/strong>, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.\u003C/li>\r\n\u003C/ul>\r\n\u003Cp>Pour finir, il est important de souligner que le RGPD impose aux responsables de traitement de \u003Cstrong>documenter, en interne, les violations de données personnelles\u003C/strong> et de \u003Cstrong>notifier, dans les 72 heures\u003C/strong>, les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.\u003C/p>\r\n",null,612,3,"L'ICO sanctionne Interserve pour absence de mesures de sécurité appropriées ",0,"Les \"omissions\" sont également sanctionnables sur la base du RGPD","fr","le-controleur-britannique-inflige-une-amende-de-4-4-millions-de-livres-pour-avo","Le Commissaire britannique à l’information (ICO) inflige l'une des plus conséquentes amendes à l’entreprise Interserve pour avoir failli à son obligation de protéger et sécuriser les informations personnelles de son personnel !\r\n\r\nUn avertissement à toutes les entreprises qui, ignorant des mesures cruciales telles que la mise à jour des logiciels et la formation du personnel, s'exposent ainsi aux cyberattaques.","Published",{"id":18,"displayName":19,"avatarUrl":20,"bio":7,"blogUrl":7,"color":7,"userId":18,"creationDate":21},3235,"Margaux Morel","https://static.dastra.eu/tenant-3/avatar/3235/margaux-2-150.jpg","2022-10-03T12:31:46","2022-10-28T08:00:00","2022-10-27T09:33:31.8358789","2024-06-20T15:56:20.6927554",{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":31},2,"Blog","A list of curated articles provided by the community","article","#28449a",[32,34,37],{"lang":13,"name":27,"description":33},"Une liste d'articles rédigés par la communauté",{"lang":35,"name":27,"description":36},"es","Una lista de artículos escritos por la comunidad",{"lang":38,"name":27,"description":39},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[41],{"id":26,"name":27,"description":28,"url":29,"color":30,"parentId":7,"count":7,"imageUrl":7,"parent":7,"order":11,"translations":42},[43,44,45],{"lang":13,"name":27,"description":33},{"lang":35,"name":27,"description":36},{"lang":38,"name":27,"description":39},[],"https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-1000.jpg",[49,50,51,52,53,54,55],"https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-1000.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-1500.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-800.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-600.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-300.webp","https://static.dastra.eu/content/fd762ac3-3f0f-47bd-a755-5fdf14d6de15/scurit-des-donnes-100.webp",52918]