Le 8 novembre 2024, l’autorité polonaise de protection des données a condamné trois institutions pour une grave violation des règles de sécurité liées au RGPD. L’incident impliquait une clé USB non chiffrée contenant des données sensibles de ressources humaines et de paie de 1500 personnes, égarée lors d’un transfert.
Cette affaire met en lumière l’importance cruciale des bonnes pratiques de sécurisation des données, notamment lors de leur transfert. Retour sur les faits et les enseignements clés à tirer pour renforcer votre conformité.
(Source : Autorité polonaise de protection des données)
Que s’est-il passé ?
L’incident débute lors d’un transfert de données entre un employé d’une des institutions impliquées et un prestataire chargé du transfert. Les données sensibles, incluant des informations RH et de paie, ont été copiées sur une clé USB non chiffrée.
Quelques erreurs graves ont été identifiées :
- Utilisation d’une clé USB non sécurisée : La clé utilisée ne disposait d’aucune mesure de chiffrement, exposant les données en cas de perte.
- Absence d’effacement des données : Les informations n’ont pas été supprimées après leur extraction.
- Manque de vigilance : Les institutions concernées n’ont pas mis en place de contrôles pour garantir une manipulation sécurisée des données.
Les reproches de l’autorité polonaise
L’autorité polonaise a jugé que l’une des institutions responsables, qui gère les systèmes RH et de paie, aurait dû :
- Évaluer les risques liés au transfert des données.
- Imposer des mesures de protection adaptées, comme l’utilisation d’un support chiffré.
- Former et sensibiliser les employés à la manipulation sécurisée des données.
L’absence de ces mesures a conduit à une violation manifeste du RGPD, exposant les données des employés à un accès non autorisé.
Bonnes pratiques pour éviter ces erreurs
Pour éviter de reproduire ce type d’incident, voici les mesures essentielles à adopter :
- Utiliser des supports sécurisés
Privilégiez des clés USB ou autres supports de stockage chiffrés, conformes aux standards de sécurité. - Mettre en place des procédures strictes
Élaborez des protocoles clairs pour la manipulation et le transfert des données sensibles, incluant l’effacement des informations après utilisation. - Former vos équipes
Sensibilisez régulièrement vos collaborateurs aux bonnes pratiques de protection des données et aux conséquences juridiques en cas de négligence. - Auditer vos pratiques
Effectuez des audits réguliers pour évaluer les failles potentielles dans vos processus de gestion des données personnelles.
Pourquoi cet incident est un avertissement pour toutes les entreprises ?
Ce cas rappelle que la sécurité des données ne se limite pas aux systèmes informatiques complexes. Les supports physiques comme les clés USB nécessitent autant d’attention pour garantir leur protection.
Les sanctions infligées mettent également en évidence la responsabilité des organisations en matière de sécurisation des données à caractère personnel, qu’elles soient responsables du traitement ou simples prestataires.
Conclusion
La perte de données sensibles peut avoir des conséquences lourdes, tant pour les individus concernés que pour les entreprises responsables. Ce récent incident en Pologne souligne la nécessité d’une vigilance accrue dans la manipulation des informations personnelles.
En adoptant des mesures de sécurité robustes et en formant vos équipes, vous protégez non seulement vos données, mais aussi votre réputation.
Pour en savoir plus, consultez le rapport complet de l’autorité polonaise : UODO.
