[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"$ftX9JzUlkQC3kD3TZlgtf7Wf_FQNXjLu2ykVkZqClOkE":3},{"tableOfContents":4,"markDownContent":5,"htmlContent":6,"metaTitle":5,"metaDescription":5,"wordCount":7,"readTime":7,"title":8,"nbDownloads":7,"excerpt":5,"lang":9,"url":10,"intro":11,"featured":4,"state":12,"author":13,"authorId":14,"datePublication":17,"dateCreation":18,"dateUpdate":18,"mainCategory":19,"categories":34,"metaDatas":40,"imageUrl":41,"imageThumbUrls":42,"id":50},false,null,"\u003Cp>Le \u003Cstrong>19 janvier 2022\u003C/strong>, l'autorité polonaise de protection des données a infligé une \u003Cstrong>amende de 1 080 000\u003C/strong> euros à la société Fortum pour n'avoir pas mis en oeuvre les \u003Cstrong>mesures techniques et organisationnelles appropriées pour s'assurer de la sécurité des données personnelles (article 32 RGPD)\u003C/strong>, mais aussi pour n'avoir pas \u003Cstrong>vérifié que son sous-traitant présentait les garanties appropriées (article 28 RGPD).\u003C/strong>\u003C/p>\r\n\u003Cp>Son \u003Ca href=\"https://www.dastra.eu/fr/article/sous-traitant/388\">sous-traitant\u003C/a> est quant à lui sanctionné par une \u003Cstrong>amende de 55 000 euros pour absence de \u003Ca href=\"https://www.dastra.eu/fr/article/security/446\">mesures de sécurité\u003C/a> suffisantes.\u003C/strong>\u003C/p>\r\n\u003Cp>La première entreprise, \u003Ca href=\"https://www.dastra.eu/fr/article/responsable-de-traitement/392\">responsable de traitement\u003C/a>, fournit des services d’électricité et de gaz. La seconde lui fournit des services d’\u003Ca href=\"https://www.dastra.eu/fr/article/archivage/1502\">archivage\u003C/a> numérique\u003C/p>\r\n\u003Cp>Le responsable de traitement notifie à l’autorité polonaise une \u003Cstrong>violation de données (art 33 RGPD)\u003C/strong>. Une \u003Cstrong>base de données clients\u003C/strong> conséquente aurait été \u003Cstrong>copiée par des personnes non autorisées\u003C/strong> au moment d’un changement informatique dans l’entreprise consistant en la création d’une nouvelle base. Les personnes concernées n’ont pas été notifiées à ce moment car la société considère qu’il n’y a pas de risques pour elles.\u003C/p>\r\n\u003Cp>Le \u003Cstrong>sous-traitant\u003C/strong> est mis en cause dans la \u003Cstrong>violation de données\u003C/strong>. Lors d’une \u003Cstrong>modification du système\u003C/strong>,il a en effet utilisé les \u003Cstrong>données réelles des clients\u003C/strong> du responsable de traitement au lieu de se baser sur des \u003Cstrong>données de test\u003C/strong>. De plus, l’\u003Cstrong>efficacité des mesures de sécurité\u003C/strong> n’auraient pas été vérifiée par le sous-traitant durant la procédure.\u003C/p>\r\n\u003Ch2>Non-respect de l'obligation de mettre en œuvre des mesures techniques et organisationnelles adaptées (article 32)\u003C/h2>\r\n\u003Cp>Les normes recommandent de \u003Cstrong>ne pas utiliser de données personnelles durant des test\u003C/strong>, ou alors de les \u003Cstrong>protéger avec des mesures appropriées\u003C/strong>. En outre, l’accord entre les sociétés exigeait la mise en place de mesures de \u003Cstrong>pseudonymisation\u003C/strong>. Aucune de ces deux mesures n'ont été respectées par le sous-traitant.\u003Cbr>\r\nDe plus, l’autorité lui reproche de \u003Cstrong>ne pas avoir respecté l’état de la technique\u003C/strong> en définissant des \u003Cstrong>mesures de sécurité non adéquates et obsolètes\u003C/strong> eu égard à l'état de la technique.\u003C/p>\r\n\u003Cp>Mais c’est aussi le \u003Cstrong>responsable de traitement\u003C/strong> qui \u003Cstrong>n’a pas mis en œuvre les mesures techniques et organisationnelles adaptées\u003C/strong>. En effet, les plans de modification de systèmes précédents indiquait que ce dernier changeait par le passé les systèmes de manière \u003Cstrong>plus sécurisée\u003C/strong>, et notamment en passant par un \u003Cstrong>environnement de test\u003C/strong>, ce qui n’a pas été le cas dans le changement ayant causé une violation de données.\u003C/p>\r\n\u003Ch2>Absence de vérification des garanties suffisantes apportées par le sous-traitant (article 28 RGPD)\u003C/h2>\r\n\u003Cp>Le responsable de traitement s’est basé sur la \u003Cstrong>renommée de son sous-traitant\u003C/strong>, sans vérifier que ce dernier disposait \u003Cstrong>effectivement\u003C/strong> de \u003Cstrong>mesures de sécurité adaptées au traitement\u003C/strong> et à sa mission de sous-traitant.\u003Cbr>\r\nLe responsable de traitement n’a pas non plus exercé son \u003Cstrong>droit de contrôle sur son sous-traitant\u003C/strong> pour \u003Cstrong>vérifier que ce dernier remplissait les obligations de l’article 32 du RGPD\u003C/strong>, et n’a pas non plus mis en place des \u003Cb data-tomark-pass=\"\">\u003Ca href=\"https://www.dastra.eu/fr/audit\">audits\u003C/a> et des inspections régulières\u003C/b>.\u003C/p>\r\n\u003Cp>La \u003Cstrong>négligence\u003C/strong> du sous-traitant sur la \u003Cstrong>vérification des garanties apportées\u003C/strong> par son sous-traitant justifie donc en partie la sévérité de la sanction à son égard, en plus de ses \u003Cstrong>manquements à son obligation de sécurisation du traitement\u003C/strong> à l'origine de la \u003Cstrong>violation de données.\u003C/strong>\u003C/p>\r\n",0,"Sanction RGPD : Violation de données, absence de mesures appropriées et sous-traitance : amende record de 1 080 000 euros pour une entreprise polonaise","fr","violation-de-donnees-mise-en-place-de-mesures-appropriees-et-sous-traitance-ame","Sanction RGPD record pour un responsable de traitement, pour non respect de son obligation de sécurisation du traitement et de vérification des garanties apportées par son sous-traitant. ","Published",{"id":14,"displayName":15,"avatarUrl":5,"bio":5,"blogUrl":5,"color":5,"userId":14,"creationDate":16},763,"2bb2b961-a995-46c5-84fe-1d6179fbb47f","2021-09-29T09:44:57","2022-05-20T09:08:00","2022-05-19T16:31:00.0473179",{"id":20,"name":21,"description":22,"url":23,"color":24,"parentId":5,"count":5,"imageUrl":5,"parent":5,"order":7,"translations":25},2,"Blog","A list of curated articles provided by the community","blog","#28449a",[26,28,31],{"lang":9,"name":21,"description":27},"Une liste d'articles rédigés par la communauté",{"lang":29,"name":21,"description":30},"es","Una lista de artículos escritos por la comunidad",{"lang":32,"name":21,"description":33},"de","Eine Liste von Artikeln, die von der Community verfasst wurden",[35],{"id":20,"name":21,"description":22,"url":23,"color":24,"parentId":5,"count":5,"imageUrl":5,"parent":5,"order":7,"translations":36},[37,38,39],{"lang":9,"name":21,"description":27},{"lang":29,"name":21,"description":30},{"lang":32,"name":21,"description":33},[],"https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-1000.png",[43,44,45,46,47,48,49],"https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-1000.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-1500.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-800.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-600.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-300.webp","https://static.dastra.eu/content/14a98128-eed3-4db2-9283-7b0924318359/capture-dcran-2022-05-19-183043-100.webp",52041]