Le Commissaire britannique à l’information (ICO) inflige une amende de 4,4 millions de Livres à l’entreprise Interserve pour avoir failli à son obligation de protéger et sécuriser les informations personnelles de son personnel.

Depuis le brexit, la Grande Bretagne a repris à son compte le RGPD (UKGDPR) dont les obligations sont similaires au RGPD.

L’ICO émet par la même occasion un avertissement à toutes les entreprises qui, ignorant des mesures cruciales telles que la mise à jour des logiciels et la formation du personnel, s'exposent ainsi aux cyberattaques.

Le commissaire à l’information du Royaume-Uni a ainsi rappelé que :

« le plus grand cyber-risque est la complaisance, pas les pirates ».

Les manquements établis par le Commissaire à l'Information britannique

Dans cette affaire, l’ICO a constaté que l'entreprise n'avait pas mis en place les mesures de sécurité appropriées pour empêcher une cyberattaque, ce qui a permis aux pirates d'accéder aux données personnelles de 113 000 employés via un e-mail de phishing.

Plus précisément, L'enquête de l'ICO a révélé qu'Interserve n'avait :

• pas donné suite à l'alerte initiale d'une activité suspecte,
• utilisait des systèmes logiciels et des protocoles obsolètes,
• manquait de formation adéquate du personnel
• et présentait un processus d'évaluations des risques insuffisant, ce qui les rendait finalement vulnérables à une cyberattaque.

Interserve a enfreint la loi sur la protection des données en omettant de mettre en place les mesures techniques et organisationnelles appropriées pour empêcher l'accès non autorisé aux informations des personnes.

Les données compromises comprenaient des informations personnelles telles que les coordonnées, les numéros d'assurance nationale et les coordonnées bancaires, ainsi que des données particulièrement sensibles, notamment l'origine ethnique, la religion, les détails de tout handicap, l'orientation sexuelle et les informations sur la santé.

Rappel des grands principes en matière de sécurité des données

Rappelons ici que la sécurité des données est un volet essentiel du RGPD et une obligation qui pèse sur tout responsable de traitement et sous-traitant.

La sécurité est en outre un processus continu et les mesures doivent être régulièrement revues et ajustées en fonction de l’évolution des risques.

L’obligation de mise en conformité répond à une logique d’accountability (ou responsabilisation) qui doit être dynamique et globale.

Pour aider les professionnels dans la mise en conformité à la loi Informatique et Libertés et au règlement général sur la protection des données, la CNIL a publié un guide qui rappelle les précautions élémentaires qui devraient être mises en œuvre de façon systématique.

Pour aller plus loin, il est aussi possible de réaliser une analyse d'impact relative à la protection des données (AIPD) qui est un outil d’évaluation d’impact sur la vie privée.

L’AIPD repose sur 2 piliers :

• Les principes et droits fondamentaux, « non négociables », fixés par la loi. Ils ne peuvent faire l’objet d’aucune modulation, quelles que soient la nature, la gravité et la vraisemblance des risques encourus ;
• La gestion des risques sur la vie privée des personnes concernées, qui permet de déterminer les mesures techniques et d’organisation appropriée pour protéger les données personnelles.

Pour finir, il est important de souligner que le RGPD impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier, dans les 72 heures, les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées.