News
Après ZOOM et Marriott, les données personnelles de milliers de lecteurs du « Figaro » exposées sur un serveur
avril 2020 par Alexandre LAZARÈGUE, Avocat spécialisé en droit du numérique
Zoom, Marriott, aujourd’hui Le Figaor.fr … régulièrement les sites internet sont victimes de fuite massive de données personnelles de leurs utilisateurs (noms complets, adresses électroniques, adresses postales, pays de résidence, adresses IP).
Ces données résultent d’attaques ou de défaillances des hébergeurs ou des serveurs et du manque de contrôle de responsable de traitement qui est à l’initiative de la collecte des données.
Quelles sont les obligations des entreprises en matière de sécurité des données ?
Le RGPD oblige les sous-traitants (hébergeurs comme serveurs) et le responsable de traitement à mettre en œuvre des mesures garantissant la confidentialité des données.
Sur la base de cette obligation, la CNIL publie ses préconisations pour sécuriser les serveurs :
• Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées ;
• Adopter une politique spécifique de mots de passe pour les administrateurs ;
• Installer les mises à jour critiques sans délai ;
• Utiliser des comptes nominatifs pour l’accès aux bases de données
• Mettre en œuvre un protocole assurant le chiffrement et l’authentification.
Que doivent faire les entreprises victimes de fuites ?
Dès qu’une entreprise a connaissance d’une fuite de données à partir de ses serveurs, elle doit en informer la CNIL dans les 72 heures.
S’il apparait que la violation comporte un risque élevé pour les droits et libertés des personnes concernées, l’entreprise doit les en informer.
Des faits d’usurpation d’identité, d’extorsion, de chantage, peuvent survenir pour les victimes à la suite d’une fuite de données et doivent pouvoir dès lors être informées au plus vite pour prendre des mesures préventives.
Que risque les responsables ?
Toute personne ayant subi un dommage peut en obtenir la réparation par le responsable du traitement. Les sous-traitants peuvent aussi voir leur responsabilité engagée s’ils n’ont respecté leurs obligations.
Une telle violation peut aussi faire l’objet d’une amende pouvant s’élever jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires des sociétés responsables.
Alors que le confinement a accru l’usage du numérique dans la société, les enjeux de cybersecurité et de respect du droit des données personnelles sont essentiels pour protéger la vie privée et préserver la fiabilité des entreprises.
