UODO (Pologne), 9 décembre 2021
En mai 2020, l’université de technologie de Varsovie a notifié à l’autorité de contrôle polonaise une violation de données. La notification indiquait qu’une personne inconnue et non autorisée avait téléchargé, à partir du réseau informatique de l’université, une base de données contenant les données personnelles d’environ 5000 personnes (étudiants et professeurs).
L’enquête, diligentée par l’autorité de contrôle, a révélé que la faille provenait d’une application créée 10 ans auparavant, développée par les employés de l’université, permettant aux étudiants de s’inscrire aux cours et d’obtenir des documents administratifs (dossier administratif, certificats, justificatif de paiement des frais de scolarité…). Cette application permettait également aux professeurs de télécharger des fichiers liés à leurs enseignements.
L’analyse technique de la violation a révélé qu’en janvier 2020 et avril 2020, un tiers non autorisé muni d’informations d’identification probablement volées, avait profité de la fonctionnalité de téléchargement de fichiers de l’application pour y installer des portes dérobées. Ces dernières ont permis le téléchargement, en avril 2020, des données personnelles faisant l’objet de la violation.
Rappelant qu’il est « indispensable que le responsable du traitement, dans le cadre de la mise en œuvre des obligations découlant du [RGPD], vérifie périodiquement si les solutions techniques et organisationnelles utilisées ne comportent pas de faiblesses pouvant affecter le risque de violation des droits ou libertés des personnes concernées », l’autorité de contrôle a constaté que l’université n’avait pas mis en œuvre les mesures techniques et organisationnelles appropriées pour assurer en permanence la confidentialité des activités de traitement.
A cet égard, elle relève que l’université n’a pas régulièrement testé, mesuré et évalué l’efficacité de ces mesures et n’a pas pris en compte les risques liés au traitement de données à caractère personnel dans l’application susmentionnée. Compte tenu de ce qui précède, l’autorité de contrôle a infligé à l’université une amende de 9.000 €.
