Open in app

Sign in

Write

Sign in

RGPD — de coûteuses failles réseau

Bertrand #ProHacktive.io
ProHacktive
Published in
4 min readApr 17, 2020

Le RGPD a donné un cadre légal et organisationnel défini pour la protection des données personnelles. Il a aussi renforcé le pouvoir coercitif des autorités de contrôle (comme la CNIL en France) pour infliger des sanctions lourdes aux imprudents qui auraient des réseaux informatiques trop perméables. Là, on ne va pas parler des condamnations pour mauvais usages des données personnelles (coucou Google!), mais uniquement pour des mesures de sécurité insuffisantes.

Petit florilège non-exhaustif.

Pays-Bas : un hôpital bien malade

Juillet 2019

Vous connaissez l’article 32 ? Celui qui enjoint au responsable du traitement de « [mettre] en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Eh bien l’AP, l’autorité de contrôle néerlandaise, a estimé que l’hôpital de La Haye (HagaZiekenhuis) était un poil frivole avec cet article 32. Du coup, 460.000€ d’amende et quinze semaines pour se mettre en conformité (sinon, 100.000€ de plus toutes les deux semaines) !

Ça peut paraître raide, mais :

  1. il s’agit de données médicales sensibles,
  2. certains membres du personnel soignant ont utilisé ces failles pour regarder les dossiers médicaux de célébrités !

Le communiqué officiel (nl) :

https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_haga_-_ter_openbaarmaking.pdf

Pologne : hackers et e-commerce

Septembre 2019

Encore une fois, c’est un manquement dans les mesures de sécurité informatique qui est à l’origine de l’amende infligée par l’autorité de contrôle polonaise, l’UODO, à Morele.net. Le site d’e-commerce a été la cible d’une cyberattaque et s’est fait subtiliser les données personnelles d’environ 2,2 millions de clients. Si pour la plupart, il ne s’agissait « que » de données classiques (nom, prénom, adresse postale, téléphone, e-mail), pour 35.000 d’entre eux ça a été plus loin. En effet, l’UODO révèle que des données délicates ont été récupérées par les hackers : numéro de carte d’identité, statut marital, revenus, informations de crédits bancaires…

Morele.net a donc écopé de 660.000€ d’amende pour manquement à l’article 5, leur traitement de données personnelles n’ayant pas « [garanti] une sécurité appropriée ».

Décision (pl) :

https://uodo.gov.pl/decyzje/ZSPR.421.2.2019

Communiqué de l’UODO (en) :

https://uodo.gov.pl/en/553/1087

Bulgarie : les impôts doivent payer !

Août 2019

Le titre vous fait rêver ? Dites-vous surtout que si le service des impôts peut être rattrapé par la patrouille, TOUT LE MONDE peut l’être !

Des mesures de sécurité techniques et organisationnelle non-appropriées ont conduit la CPDP (autorité de contrôle bulgare, donc) à condamner les impôts à 2,6 millions d’euros. Il faut dire que les failles ont mené à la fuite de données de plus de 6 millions de personnes : nom, prénom, numéro de carte d’identité, adresse, téléphone, déclaration de revenus, infractions administratives…

A noter que la CPDP n’a retenu que les manquements à la sécurité (article 32, encore et toujours) et pas d’éventuels abus volontaires qui, s’ils sont avérés, constitueraient un autre délit.

Le communiqué de la CPDP (fr) :

https://www.cpdp.bg/fr/index.php?p=news_view&aid=1519

Royaume-Uni : les records avant le Brexit

Juillet 2019

C’est l’autorité de contrôle britannique, l’ICO, qui détient actuellement la palme des plus grosses amendes. Le groupe hôtelier Marriot et British Airways se sont vu infliger 110 et 200 millions d’euros respectivement ! Dans les deux cas, les fameux manquements à la sécurité des articles 5 et 32 sont encore en cause. Marriot s’est fait dérober les données personnelles (dont des données bancaires) de 30 millions d’habitants de la ZEE (sur 339 millions dans le monde), et c’est 500.000 clients de British Airways qui ont eu leurs données bancaires et numéros de passeports volés.

À noter que ces sommes sont issues des intentions de condamnation, que le jugement final n’a pas encore été rendu, que British Airways sera vraisemblablement défendu par le gouvernement britannique et que le Brexit va rajouter sa pincée de sel. Quoi qu’il en soit, bien des tracas pour ces sociétés !

Les communiqués de l’ICO (en) :

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/intention-to-fine-marriott-international-inc-more-than-99-million-under-gdpr-for-data-breach/

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/

Le RGPD s’applique donc bien à toutes les structures (privées, publiques, associatives, petites et grosses…) dans toute l’Union. De plus, il a été prévu à sa mise en application (le 25 mai 2018), que les autorités de contrôle feraient preuve de pédagogie durant les deux premières années, puis joueraient de plus en plus le rôle de gendarme.

Bref, assurez-vous de la sécurité de votre réseau !

La société ProHacktive peut vous aider dans cette tâche. Plus d’informations sur https://prohacktive.io

Auteur : Pierre Kessler (Référent DPO ProHacktive)

Rgpd
Sécurité
Cybersecurity

--

--

Bertrand #ProHacktive.io
ProHacktive

Written by Bertrand #ProHacktive.io

16 Followers
Editor for

Security Developer chez ProHacktive.io. Strong interest in pentesting and solving CTF (Ethical Hacker).

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams