Alors que le GDPR entre en vigueur dans deux jours, l’ICO (Information Commissioner’s Office), le responsable britannique de la protection des données personnelles, inflige sa toute première amende à une université, a déclaré l’organisme ce lundi. D’un montant de 120 000 £, l’amende intervient pour cause de divulgation des données personnelles de près de 20 000 personnes.
C’est un site Web annexe qui est à l’origine de cet incident qui a exposé les données personnelles de près de 20 000 étudiants et membres du personnel de l’établissement. Le site Web a été mis en ligne en 2004 à l’occasion d’une conférence de formation qui s'est déroulée dans l'école de mathématiques et d'informatique de l'université alors décentralisée. Le site Web dédié à l'événement, qui n'a pas été sécurisé ou fermé par la suite, a enregistré à l’époque les informations du personnel et des étudiants de l’université.
Le site a subi une intrusion en 2013 permettant aux pirates accéder au serveur Web et divulguer les informations sur 19 500 employés et étudiants. Les données exposées en ligne en 2016 comprenaient les noms, adresses et numéros de téléphone, mais également des détails sur les maladies et les troubles d'apprentissage de 3500 étudiants. C’est ce qui a rendu l’incident plus grave et a poussé l’ICO à examiner la question après avoir été alertée par un étudiant qui a repéré la violation.
« Bien que le site annexe ait été développé dans un département de l'université sans qu'elle ne le sache, elle est responsable de la sécurité des données dans l'établissement », a déclaré Steve Eckersley, chef exécutif à l’ICO. « Les étudiants et les membres du personnel avaient le droit de s'attendre à ce que leurs informations personnelles soient conservées en toute sécurité et cette violation sérieuse aurait causé une détresse significative. La nature des données et le nombre de personnes concernées ont influencé notre décision d'imposer ce niveau d'amende. »
La pénalité de 120 000 £ dont le montant maximum est de 500 000 £ a donc été imposée par l'organisme en vertu du Data Protection Act 1998.
Les responsables de l’établissement ont reconnu la violation et ont promis de mener une enquête pour élucider ce qui s’est passé.
« Cela fera partie d'un examen approfondi, pour s'assurer que cela ne puisse plus se reproduire », a déclaré Louise Nadal, secrétaire de l’université, à l'époque. « L'université s'engage à protéger les données confidentielles et s'excuse de cette erreur. »
Toutefois, dans deux jours, une nouvelle génération de protection de données utilisateur de l’Union européenne, avec un plafond de pénalité plus élevé (20 millions d’euros), sera mise en application.
Source : Alphr
Et vous ?
Que pensez-vous de cette amende qui tombe à l’orée du GDPR ? Cet exemple de négligence du système de sécurité informatique n’est-il pas un signal que la majorité des entreprises ne seront-elles pas prêtes pour le rendez-vous du GDPR ? Que pensez-vous d’une autre période de transition avant la mise en pratique du GDPR à 100 % ? (Selon une enquête d’IBM, seuls 36 % des organisations seront prêtes à temps pour le GDPR)Voir aussi
GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ?, Mise en lumière de quelques points clés Failles de sécurité des applications Web, principe, parades et bonnes pratiques de développement