Inconnu
Date de l'amende:
27/1/2021
Structure ou entité mise en cause :
Inconnu
Quelle est la base légale ?
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations
Détail des faits
La DPA française (CNIL) a infligé à une entreprise et à son sous-traitant une amende de 150 000 EUR et 75 000 EUR pour avoir omis de prendre des mesures suffisantes contre les attaques par bourrage d'informations d'identification sur le site Web de l'entreprise. Entre juin 2018 et janvier 2020, la CNIL a reçu plusieurs notifications de violations de données personnelles liées à un site Internet où plusieurs millions de clients font régulièrement leurs achats. En réponse, la CNIL a décidé de mener une enquête sur la société et son sous-traitant chargé de la gestion de ce site. Au cours de ses investigations, la CNIL a constaté que le site en question avait fait l'objet de nombreuses vagues d'attaques de bourrage d'identifiants. Dans ce type d'attaque, une personne malveillante obtient des listes d'identifiants et de mots de passe «non chiffrés» publiés sur Internet, généralement après une violation de données. En supposant que les utilisateurs utilisent fréquemment le même mot de passe et le même nom d'utilisateur (adresse e-mail) pour différents services, l'attaquant utilisera des «bots» pour essayer de se connecter à un grand nombre de sites Web. Si l'authentification réussit, cela permettra à l'attaquant de voir les informations associées à ces comptes. La CNIL a constaté que les attaquants avaient pu obtenir les informations suivantes: Nom, prénom, adresse e-mail et date de naissance des clients, ainsi que leur numéro de carte de fidélité et leur solde, et des informations relatives à leurs commandes. La CNIL considère que les deux sociétés ont manqué à leur obligation de sécuriser les données personnelles des clients au titre de l'article 32 du RGPD. En fait, les entreprises ont pris des mesures lentes pour lutter efficacement contre ces attaques répétées. Ils avaient décidé de concentrer leur stratégie de réponse sur le développement d'un outil de détection et de blocage des attaques lancées par des robots. Cependant, le développement de cet outil a pris un an à partir des premières attaques. Dans l'intervalle, cependant, un certain nombre d'autres mesures ayant un impact plus rapide auraient pu être envisagées pour prévenir de nouvelles attaques ou atténuer l'impact négatif sur les individus. En raison de ce manque de diligence, les données d'environ 40000 clients du site Web ont été mises à la disposition de tiers non autorisés entre mars 2018 et février 2019.
Télécharger le document officiel de la décision