Sanction d’une société et de son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées
UODO (Pologne), 19 janvier 2022
Dans une décision rendue le 19 janvier 2022, l’autorité polonaise de contrôle a sanctionné un responsable du traitement et son sous-traitant pour n’avoir pas mis en œuvre les mesures de sécurité appropriées.
Une société fournisseur d’électricité (le responsable du traitement) a fait appel à un sous-traitant pour gérer son archivage numérique.
Afin de résoudre un problème de lenteur dans le système de recherche des archives, le sous-traitant a effectué une opération technique sur la base de données.
En raison de l’inadéquation des mesures de sécurité mises en œuvre, un tiers est parvenu à s’introduire dans le système et copier les données personnelles de près de 140 000 personnes, obligeant le responsable du traitement à notifier la violation à l’autorité de contrôle.
Cette dernière, après avoir enjoint au responsable du traitement de notifier la violation également aux personnes concernées, a ouvert une enquête sur l’incident.
Au cours de celle-ci, l’autorité de contrôle a considéré que le responsable du traitement et son sous-traitant n’avaient pas mis en œuvre « les mesures techniques et organisationnelles appropriées pour assurer la sécurité du traitement des données personnelles », et ce, en violation de l’article 32 du RGPD.
En outre, l’autorité de contrôle a rappelé que, parmi les « mesures organisationnelles fondamentales » que le responsable du traitement aurait dû prévoir, figurent « la supervision et le suivi des travaux de développement des systèmes assurés par des entités externes ».
Il a également été constaté que le responsable de traitement a commis une faute en ne vérifiant pas les garanties offertes par le sous-traitant concernant la mise en œuvre de mesures techniques et organisationnelles appropriées.
En effet, selon l’autorité de contrôle, il appartient au responsable de traitement de vérifier systématiquement les garanties offertes par son sous-traitant (notamment à l’aide de de « questionnaires », « d’audits » ou « d’inspections périodiques systématiques »), quand bien même il existerait entre eux une relation de confiance reposant sur une « coopération de long terme ».
Compte tenu de ces observations, l’autorité de contrôle a prononcé une amende d’environ :
- 1 000 000 € au responsable de traitement, et
- 53 000 € au sous-traitant.
Lien vers la décision : https://www.uodo.gov.pl/decyzje/DKN.5130.2215.2020
Mots clés :
