1 pièce(s) jointe(s)
RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 €
RGPD : le réseau social allemand Knuddels.de condamné à payer une amende de 20 000 €,
pour avoir stocké des mots de passe en clair
Le réseau social allemand Knuddels.de va devoir payer une amende de 20 000 euros, car il stockait des mots de passe non chiffrés. Ainsi, la société de Karlsruhe a violé l’obligation de garantir la sécurité des données à caractère personnel, a informé le commissaire à la protection des données du Bade-Wurtemberg, Stefan Brink, jeudi à Stuttgart.
Il a expliqué qu’après avoir été victime d’une attaque, la société s'était adressée à la DPA pour tenir informés immédiatement les autorités ainsi que les utilisateurs. Selon la société, environ 808 000 adresses de courrier électronique et 1 872 000 pseudonymes et mots de passe ont été volés par des inconnus et publiés sur Internet.
En plus des pseudonymes utilisés pour accéder à la plateforme, les pirates ont également rendu publics les mots de passe associés, les adresse mail ainsi que des informations sur le prénom ou le lieu de résidence. Les utilisateurs de la plateforme ont donc été invités à changer leur mot de passe, pour ceux qui sont concernés et ne l’avaient pas encore fait. Une nécessité pour ceux qui utilisent le même mot de passe ou une variante similaire sur d'autres sites Web.
Ces données ont été publiées en septembre 2018.
L’Inspection des données du Land de Bade-Wurtemberg a annoncé que l’enquête subséquente avait montré que Knuddel conservait des mots de passe en clair et en format non crypté.
C’est une violation du paragraphe 1 de l’article 32 du RGPD sur la sécurité du traitement.
Citation:
Envoyé par article 32 du RGPD paragraphe 1
Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique;
d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
« La société a mis en place des mesures complètes pour améliorer l'architecture de la sécurité informatique en quelques semaines. En outre, la société engagera de nouvelles mesures pour améliorer encore la sécurité des données dans les semaines à venir, en coordination avec l'inspection allemande des données ».
L’audit a également révélé que Knuddel.de était responsable de tous les processus et procédures. Cela a permis d'améliorer très rapidement la sécurité « en très peu de temps ».
L'amende aurait pu être plus élevée. Mais la surveillance des données allemande annonce qu'elle n'est pas intéressée à participer à un concours visant à infliger les amendes les plus lourdes possibles. « Au final, il s'agit d'améliorer la confidentialité et la sécurité des données pour les utilisateurs », insiste-t-elle. Rappelons que depuis mai, de nouvelles règles européennes sur la protection des données sont en vigueur et ont été définies dans le règlement général sur la protection des données (RGPD). Elles prévoient des amendes allant jusqu'à 20 millions d'euros ou pouvant aller jusqu'à 4% du chiffre d'affaires annuel réalisé dans le monde.
Brink a déclaré que la société avait travaillé de manière exemplaire avec son agence et avait considérablement amélioré la sécurité informatique. « Ceux qui tirent les enseignements du mal et agissent de manière transparente pour améliorer la protection des données peuvent émerger plus forts en tant qu'entreprise contre un piratage ».
Holger Kujath, directeur général de Knuddels GmbH & Co. KG, a déclaré: « L'attaque de hackers était un véritable test de stress pour Knuddels ». Il lui est immédiatement apparu que la confiance des utilisateurs ne pouvait être rétablie que par une communication transparente et une amélioration notable de la sécurité informatique. « Knuddels est plus sûr que jamais », a-t-il poursuivi.
Knuddels affirme avoir plus de deux millions de membres inscrits.
Notons par ailleurs qu'au Portugal, les sanctions relatives au RGPD ont déjà commencé à tomber. En effet, c'est un hôpital qui a été condamné à une amende de 400 000 euros il y a un mois pour non-contrôle de la sécurité des données à caractère personnel.
Sources : Spiegel, RGPD texte
Et vous ?
:fleche: Que pensez-vous de la décision allemande de ne pas alourdir la sanction pécuniaire ?
:fleche: Les autres pays en UE gagneraient-ils à s'en inspirer ?
Voir aussi :
:fleche: Pays-Bas : la collecte de données de Microsoft Office pourrait enfreindre le RGPD et lui valoir une amende, d'après un rapport
:fleche: Privacy International porte plainte contre sept entreprises de la Tech pour violation du RGPD auprès des autorités européennes
:fleche: La Roumanie ordonne à des journalistes d'investigation de révéler leurs sources en vertu du RGPD, dans un cas de corruption au sommet du pouvoir
:fleche: Violations de données personnelles : la CNIL dresse un premier bilan chiffré, quatre mois après l'entrée en application du RGPD
:fleche: Etude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante, et à une concentration sur le marché de la publicité en ligne