Il a expliqué qu’après avoir été victime d’une attaque, la société s'était adressée à la DPA pour tenir informés immédiatement les autorités ainsi que les utilisateurs. Selon la société, environ 808 000 adresses de courrier électronique et 1 872 000 pseudonymes et mots de passe ont été volés par des inconnus et publiés sur Internet.
En plus des pseudonymes utilisés pour accéder à la plateforme, les pirates ont également rendu publics les mots de passe associés, les adresse mail ainsi que des informations sur le prénom ou le lieu de résidence. Les utilisateurs de la plateforme ont donc été invités à changer leur mot de passe, pour ceux qui sont concernés et ne l’avaient pas encore fait. Une nécessité pour ceux qui utilisent le même mot de passe ou une variante similaire sur d'autres sites Web.
Ces données ont été publiées en septembre 2018.
L’Inspection des données du Land de Bade-Wurtemberg a annoncé que l’enquête subséquente avait montré que Knuddel conservait des mots de passe en clair et en format non crypté.
C’est une violation du paragraphe 1 de l’article 32 du RGPD sur la sécurité du traitement.
Envoyé par article 32 du RGPD paragraphe 1
L’audit a également révélé que Knuddel.de était responsable de tous les processus et procédures. Cela a permis d'améliorer très rapidement la sécurité « en très peu de temps ».
L'amende aurait pu être plus élevée. Mais la surveillance des données allemande annonce qu'elle n'est pas intéressée à participer à un concours visant à infliger les amendes les plus lourdes possibles. « Au final, il s'agit d'améliorer la confidentialité et la sécurité des données pour les utilisateurs », insiste-t-elle. Rappelons que depuis mai, de nouvelles règles européennes sur la protection des données sont en vigueur et ont été définies dans le règlement général sur la protection des données (RGPD). Elles prévoient des amendes allant jusqu'à 20 millions d'euros ou pouvant aller jusqu'à 4% du chiffre d'affaires annuel réalisé dans le monde.
Brink a déclaré que la société avait travaillé de manière exemplaire avec son agence et avait considérablement amélioré la sécurité informatique. « Ceux qui tirent les enseignements du mal et agissent de manière transparente pour améliorer la protection des données peuvent émerger plus forts en tant qu'entreprise contre un piratage ».
Holger Kujath, directeur général de Knuddels GmbH & Co. KG, a déclaré: « L'attaque de hackers était un véritable test de stress pour Knuddels ». Il lui est immédiatement apparu que la confiance des utilisateurs ne pouvait être rétablie que par une communication transparente et une amélioration notable de la sécurité informatique. « Knuddels est plus sûr que jamais », a-t-il poursuivi.
Knuddels affirme avoir plus de deux millions de membres inscrits.
Notons par ailleurs qu'au Portugal, les sanctions relatives au RGPD ont déjà commencé à tomber. En effet, c'est un hôpital qui a été condamné à une amende de 400 000 euros il y a un mois pour non-contrôle de la sécurité des données à caractère personnel.
Sources : Spiegel, RGPD texte
Et vous ?
Que pensez-vous de la décision allemande de ne pas alourdir la sanction pécuniaire ?
Les autres pays en UE gagneraient-ils à s'en inspirer ?
Voir aussi :
Pays-Bas : la collecte de données de Microsoft Office pourrait enfreindre le RGPD et lui valoir une amende, d'après un rapport
Privacy International porte plainte contre sept entreprises de la Tech pour violation du RGPD auprès des autorités européennes
La Roumanie ordonne à des journalistes d'investigation de révéler leurs sources en vertu du RGPD, dans un cas de corruption au sommet du pouvoir
Violations de données personnelles : la CNIL dresse un premier bilan chiffré, quatre mois après l'entrée en application du RGPD
Etude : Google est le plus grand bénéficiaire du RGPD grâce à sa position dominante, et à une concentration sur le marché de la publicité en ligne