Intégrer La Voix Nordic Ab
Date de l'amende:
7/6/2021
Structure ou entité mise en cause :
Intégrer La Voix Nordic Ab
Quelle est la base légale ?
Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information
Détail des faits
La DPA suédoise a infligé une amende de 64 500 euros à Voice Integrate Nordic AB. L'amende est liée à une enquête contre trois sociétés et trois régions suédoises. Dans les 21 régions de Suède, une ligne d'assistance téléphonique proposant des conseils sur divers sujets liés à la santé est accessible en composant le 1177. Chaque région gère son propre service de conseil en matière de santé, soit en interne, soit par l'intermédiaire de sous-traitants contractuels, mais ensemble, elles forment un réseau national. En 2019, les médias ont rapporté que les appels enregistrés à la ligne d'assistance 1177 étaient disponibles sur un serveur Web sans protection par mot de passe ni autres mesures de sécurité. Tous les appels vers le numéro 1177 allaient dans un premier temps à la société Inera, qui gérait et développait les systèmes mutualisés. Les appels au numéro 1177 des personnes vivant dans les régions de Stockholm, Sörmland et Värmland ont été transmis par Inera à Medhelp AB, qui a pris les appels. Medhelp avait à son tour contracté la société thaïlandaise Medicall Co Ltd. pour prendre des appels le week-end et la nuit. Medhelp et Medicall avaient tous deux un contrat avec la société de technologie Voice Integrate Nordic AB pour, entre autres, les enregistrements d'appels. Une violation de données s'était alors produite dans laquelle des enregistrements d'appels vers le numéro 1177 étaient disponibles sur Internet sur un serveur de stockage appartenant à Voice Integrate. L'incident résultait d'une mauvaise configuration d'un périphérique de stockage connecté au réseau qui était accessible au public sur Internet et n'utilisait pas de communications cryptées. Un grand nombre d'appels ont été accédés en raison de la vulnérabilité. La DPA suédoise a constaté que Voice Integrate n'avait pas pris les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adéquat pour protéger les données personnelles afin que les personnes non autorisées ne puissent pas y accéder.
Télécharger le document officiel de la décision