Actualités

Le 28 décembre 2021, la CNIL a sanctionné d’une amende de 180 000 euros un prestataire de service de paiement à la suite d’un risque de violation de données personnelles pouvant concerner 12 millions de personnes en Europe. Il y a plusieurs enseignements à tirer de cette décision :

1. Les entreprises doivent veiller à la sécurité de leurs plateformes de test comme de leurs plateformes de production. En effet, l’entreprise avait laissé pendant 5 ans en libre accès sur un serveur, accessible sur internet par son adresse IP et son numéro de port, des données personnelles, notamment des données bancaires dont le n°IBAN, qu’elle avait stockées pour réaliser des opérations de test.

La CNIL rappelle les mesures qu’il convient de prendre pour éviter une telle situation, notamment : Restrictions d’accès logique aux seules personnes autorisées ; Système de journalisation des accès au serveur, permettant d’identifier des anomalies ; Chiffrement ou pseudonymisation des données.

2. Il vaut mieux tenter d’informer les personnes concernées par la violation de données, même s’il y en a beaucoup !

3. Enfin, la CNIL rappelle que les contrats avec les sous-traitants de données personnelles doivent respecter les dispositions de l’article 28 du RGPD. Ce n’est pas facultatif !