UODO (Pologne), 19 janvier 2023
L’autorité de contrôle polonaise a sanctionné un tribunal pour n’avoir pas mis en œuvre une mesure technique permettant de bloquer l’usage des supports de stockage externes.
En septembre 2020, un tribunal polonais (responsable du traitement) a notifié à l’autorité de contrôle polonaise une violation de données à la suite de la perte de trois clés USB (une professionnelle cryptée et deux personnelles non cryptées) par un juge.
Ces clés contenaient, entre autres, des projets de jugements, des pièces judiciaires et plus largement de nombreuses données personnelles (y compris des données sensibles) en lien avec des justiciables. Bien que la quantité de données personnelles « n’ait pas pu être déterminée », les clefs comportaient « les données relatives aux affaires judiciaires du juge depuis 2004 ».
Au cours de son enquête, l’autorité de contrôle a constaté que le tribunal avait réalisé en 2019 une analyse des risques qui concluait qu’il existait « un risque de perte de confidentialité en raison de l’accès aux données par des personnes non autorisées du fait du stockage sur des supports amovibles privés non sécurisés ».
A cette date, le responsable du traitement avait envisagé une solution technique de réduction des risques consistant à « instaurer un blocage de l’utilisation des supports de stockage privés [lesdits supports n’étant plus reconnus par le système informatique] et une obligation d’utiliser uniquement des supports de stockage cryptées ».
Considérant que le risque était modéré, le responsable du traitement n’a cependant pas mis en œuvre cette solution technique de blocage, mais a uniquement « interdit formellement d’utiliser des supports de stockage privés ».
Jugeant cette dernière mesure insuffisante, et considérant que la solution technique de blocage aurait dû être implémentée par le responsable du traitement, l’autorité de contrôle polonaise a infligé au tribunal une amende d’environ 6700 € pour n’avoir pas pris les mesures de sécurité adaptées aux risques, en violation des articles 5 (principe de confidentialité), 24 (principe de responsabilité), 25 (privacy by default) et 32 (sécurité du traitement) du RGPD.
Source : ici
