Le 19 janvier 2022, l'autorité polonaise de protection des données a infligé une amende de 1 080 000 euros à la société Fortum pour n'avoir pas mis en oeuvre les mesures techniques et organisationnelles appropriées pour s'assurer de la sécurité des données personnelles (article 32 RGPD), mais aussi pour n'avoir pas vérifié que son sous-traitant présentait les garanties appropriées (article 28 RGPD).
Son sous-traitant est quant à lui sanctionné par une amende de 55 000 euros pour absence de mesures de sécurité suffisantes.
La première entreprise, responsable de traitement, fournit des services d’électricité et de gaz. La seconde lui fournit des services d’archivage numérique
Le responsable de traitement notifie à l’autorité polonaise une violation de données (art 33 RGPD). Une base de données clients conséquente aurait été copiée par des personnes non autorisées au moment d’un changement informatique dans l’entreprise consistant en la création d’une nouvelle base. Les personnes concernées n’ont pas été notifiées à ce moment car la société considère qu’il n’y a pas de risques pour elles.
Le sous-traitant est mis en cause dans la violation de données. Lors d’une modification du système,il a en effet utilisé les données réelles des clients du responsable de traitement au lieu de se baser sur des données de test. De plus, l’efficacité des mesures de sécurité n’auraient pas été vérifiée par le sous-traitant durant la procédure.
Non-respect de l'obligation de mettre en œuvre des mesures techniques et organisationnelles adaptées (article 32)
Les normes recommandent de ne pas utiliser de données personnelles durant des test, ou alors de les protéger avec des mesures appropriées. En outre, l’accord entre les sociétés exigeait la mise en place de mesures de pseudonymisation. Aucune de ces deux mesures n'ont été respectées par le sous-traitant.
De plus, l’autorité lui reproche de ne pas avoir respecté l’état de la technique en définissant des mesures de sécurité non adéquates et obsolètes eu égard à l'état de la technique.
Mais c’est aussi le responsable de traitement qui n’a pas mis en œuvre les mesures techniques et organisationnelles adaptées. En effet, les plans de modification de systèmes précédents indiquait que ce dernier changeait par le passé les systèmes de manière plus sécurisée, et notamment en passant par un environnement de test, ce qui n’a pas été le cas dans le changement ayant causé une violation de données.
Absence de vérification des garanties suffisantes apportées par le sous-traitant (article 28 RGPD)
Le responsable de traitement s’est basé sur la renommée de son sous-traitant, sans vérifier que ce dernier disposait effectivement de mesures de sécurité adaptées au traitement et à sa mission de sous-traitant.
Le responsable de traitement n’a pas non plus exercé son droit de contrôle sur son sous-traitant pour vérifier que ce dernier remplissait les obligations de l’article 32 du RGPD, et n’a pas non plus mis en place des audits et des inspections régulières.
La négligence du sous-traitant sur la vérification des garanties apportées par son sous-traitant justifie donc en partie la sévérité de la sanction à son égard, en plus de ses manquements à son obligation de sécurisation du traitement à l'origine de la violation de données.