Datatilsynet (Norvège), 8 mars 2023
L’Autorité de contrôle norvégienne a sanctionné un responsable du traitement pour avoir attendu 3 mois entre la prise de connaissance de l’impact de l’incident sur des données personnelles et la notification de cet incident.
Une entreprise américaine spécialisée dans la conception et le développement de dispositifs médicaux a subi un incident de sécurité : un tiers non identifié a accédé, de manière non autorisée, au compte de messagerie électronique du vice-président des ressources humaines et a ainsi eu accès à de nombreuses données personnelles financières de salariés (salaires, avantages…). L’équipe de sécurité informatique, alertée le 14 juin 2021, a immédiatement mis en œuvre des mesures de sécurité pour endiguer l’incident et comprendre l’origine de la faille.
Le 19 juillet 2021, l’enquête interne de l’entreprise a permis de découvrir que les données personnelles des employés européens avaient été affectées par l’incident : l’entreprise ne l’a pas immédiatement notifié à l’Autorité de contrôle, mais a procédé à une évaluation préalable afin de déterminer si l’incident devait être notifié à l’Autorité de contrôle et, le cas échéant, aux personnes concernées.
Le 24 septembre 2021, l’entreprise a finalement notifié à l’Autorité de contrôle norvégienne une violation de données personnelles, conformément à l’article 33 du RGPD.
A la suite de cette notification, l’Autorité de contrôle norvégienne a ouvert une enquête et a constaté que l’entreprise avait attendu 67 jours entre le moment où elle a pris « connaissance [du fait] que l’incident affectait les données personnelles de personnes dans l’UE » (19 juillet) et la notification (24 septembre).
Rappelant l’obligation pour le responsable du traitement de notifier une violation de données à caractère personnel à l’Autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », l’Autorité de contrôle a considéré que l’entreprise avait violé cette obligation.
En effet, selon l’Autorité de contrôle, « étant donné que le 19 juillet 2021, [le responsable du traitement] disposait d’éléments suffisants pour conclure, avec un degré raisonnable de certitude, qu’une violation de données à caractère personnel avait eu lieu, [le responsable du traitement] aurait pu et dû soumettre une notification initiale » sans retard injustifié » à partir de cette date ».
Compte tenu de ce qui précède, l’Autorité de contrôle a infligé au responsable du traitement une amende d’environ 210 000 euros pour avoir manqué à l’obligation prévue par l’article 33 du RGPD de notifier toute violation des données personnelles dans les meilleurs délais. Ce montant élevé s’explique en partie par « la manière dont l’infraction a été portée à la connaissance » de l’Autorité de contrôle, puisqu’il était reproché au responsable du traitement d’avoir laissé croire qu’il n’avait eu connaissance d’une violation de données à caractère personnel que le 21 septembre.
Source : ici
