Blog Données personnelles

Erreur humaine, cybercriminalité à l’origine de violation de données condamnées

Deux ans après l’entrée en application du RGPD, le nombre de violations de données continue d’augmenter et le constat reste le même : le facteur humain demeure au cœur des incidents de sécurité [1]. Au regard des violations de données notifiées à la CNIL jusqu’au 30 juin 2019, 54% d’entre elles sont d’origine malveillante et 26% sont accidentelles.

C’est ce que rappelle l’autorité de protection des données suédoise dans deux sanctions prononcées à l’encontre (1) d’un comité régional de soins de santéqui a publié, par erreur, sur le site web de la région, des données personnelles sensibles concernant un patient admis dans une clinique psychiatrique légale, et (2) d’un centre de services du gouvernement national concernant une erreur dans le système informatique d’administration des salaires.

L’autorité suédoise note également qu’il a fallu près de cinq mois au Centre de services du gouvernement national pour notifier la violation de données aux personnes concernées et près de trois mois avant que le délégué à la protection des données ne reçoive une notification de violation de données.

Face à ces constats, l’autorité de protection des données a prononcé une amende de 11 000 euros au comité régional de soins de santé et une amende de 18 700 euros à l’encontre du centre de services du gouvernement national.

Au-delà de l’erreur humaine, une violation de données peut être causée par un événement externe comme une cyberattaque. La compagnie aérienne Easyjet a été victime d’une cyberattaque en janvier 2020 qui a permis l’accès à neuf millions de comptes clients. Des adresses e-mails, des informations sur les voyages et des numéros de cartes de crédit ont été exposés.

Pourtant, la compagnie aérienne n’a averti ses clients concernés qu’en avril dernier.

C’est la raison pour laquelle une action de groupe (ou « class action »), fondée sur l’article 82 du RGPD, a été déposée devant la Haute Cour de Londres pour réclamer une indemnisation de près de 20 milliards d’euros.

Cette action démontre ainsi qu’en plus d’une éventuelle sanction administrative à laquelle s’expose le responsable de traitement, il y a désormais la possibilité de saisir les juridictions pour engager sa responsabilité civile, une nouvelle conséquence due à une violation de données.

*****

[1Source : Baromètre Data Breach publié par le FIC, janvier 2020