Sanction RGPD : Violation de données, absence de mesures appropriées et sous-traitance : amende record de 1 080 000 euros pour une entreprise polonaise

Sanction RGPD : Violation de données, absence de mesures appropriées et sous-traitance : amende record de 1 080 000 euros pour une entreprise polonaise
Tristan Balès

Le 19 janvier 2022, l'autorité polonaise de protection des données a infligé une amende de 1 080 000 euros à la société Fortum pour n'avoir pas mis en oeuvre les mesures techniques et organisationnelles appropriées pour s'assurer de la sécurité des données personnelles (article 32 RGPD), mais aussi pour n'avoir pas vérifié que son sous-traitant présentait les garanties appropriées (article 28 RGPD).

Son sous-traitant est quant à lui sanctionné par une amende de 55 000 euros pour absence de mesures de sécurité suffisantes.

La première entreprise, responsable de traitement, fournit des services d’électricité et de gaz. La seconde lui fournit des services d’archivage numérique

Le responsable de traitement notifie à l’autorité polonaise une violation de données (art 33 RGPD). Une base de données clients conséquente aurait été copiée par des personnes non autorisées au moment d’un changement informatique dans l’entreprise consistant en la création d’une nouvelle base. Les personnes concernées n’ont pas été notifiées à ce moment car la société considère qu’il n’y a pas de risques pour elles.

Le sous-traitant est mis en cause dans la violation de données. Lors d’une modification du système,il a en effet utilisé les données réelles des clients du responsable de traitement au lieu de se baser sur des données de test. De plus, l’efficacité des mesures de sécurité n’auraient pas été vérifiée par le sous-traitant durant la procédure.

Non-respect de l'obligation de mettre en œuvre des mesures techniques et organisationnelles adaptées (article 32)

Les normes recommandent de ne pas utiliser de données personnelles durant des test, ou alors de les protéger avec des mesures appropriées. En outre, l’accord entre les sociétés exigeait la mise en place de mesures de pseudonymisation. Aucune de ces deux mesures n'ont été respectées par le sous-traitant.
De plus, l’autorité lui reproche de ne pas avoir respecté l’état de la technique en définissant des mesures de sécurité non adéquates et obsolètes eu égard à l'état de la technique.

Mais c’est aussi le responsable de traitement qui n’a pas mis en œuvre les mesures techniques et organisationnelles adaptées. En effet, les plans de modification de systèmes précédents indiquait que ce dernier changeait par le passé les systèmes de manière plus sécurisée, et notamment en passant par un environnement de test, ce qui n’a pas été le cas dans le changement ayant causé une violation de données.

Absence de vérification des garanties suffisantes apportées par le sous-traitant (article 28 RGPD)

Le responsable de traitement s’est basé sur la renommée de son sous-traitant, sans vérifier que ce dernier disposait effectivement de mesures de sécurité adaptées au traitement et à sa mission de sous-traitant.
Le responsable de traitement n’a pas non plus exercé son droit de contrôle sur son sous-traitant pour vérifier que ce dernier remplissait les obligations de l’article 32 du RGPD, et n’a pas non plus mis en place des audits et des inspections régulières.

La négligence du sous-traitant sur la vérification des garanties apportées par son sous-traitant justifie donc en partie la sévérité de la sanction à son égard, en plus de ses manquements à son obligation de sécurisation du traitement à l'origine de la violation de données.


newsletter

Inscrivez-vous à notre newsletter

Nous vous enverrons quelques emails pour vous tenir informé de notre actualité et des nouveautés de notre solution *

*Vous pourrez toujours vous désinscrire sur chaque newsletter. En savoir plus.

[REPLAY] Webinar : La loi de protection des données suisse révisée, comment s'y conformer, avec quels outils ?

Venez découvrir une présentation de la LPD révisée, qui entrera en vigueur en septembre 2023, et des outils pour préparer sa mise en conform...

Tristan Balès

CNIL : 22 communes ont 4 mois pour désigner un DPO !

La CNIL a mis en demeure 22 communes de désigner un délégué à la protection des données (DPO), une première !

Estelle Penin

Limitation des finalités : sanction pour publication d'images de vidéosurveillance sur Facebook

La CNIL italienne a sanctionné de 200 000 euros un sous-traitant d'une commune pour diffusion d'images de vidéosurveillance sur Facebook

Jérôme de Mercey

[REPLAY] Webinar : Comment mesurer son niveau de conformité RGPD ?

Dans ce webinar, nous abordons de manière très concrète et pédagogique comment mesurer son niveau de conformité au RGPD.

Estelle Penin

Envie de vous lancer ?

Découvrez Dastra en créant un compte en quelques minutes et commencez à cartographier vos traitements, faire des audits... Vous pouvez également nous contacter pour une démonstration adaptée à vos besoins.

Essayez gratuitement Demander une démo

Essai gratuit 30 jours - Sans carte bleue - Sans engagement