En mai 2024, un nouveau Amende de plusieurs millions d'euros pour de graves violations de la protection des données. Et cela justement contre une entreprise qui est censée protéger ses clients sur Internet.
1. Avast Software et Avast Limited : 13,9 millions d'euros (République tchèque)
L'autorité tchèque de protection des données a engagé une procédure contre la société Avast Software, basée à Prague (République tchèque), et contre la société Avast Limited. Amende d'un montant de 13,9 millions d'euros (351 millions de CZK). La décision finale de l'autorité compétente Autorité de surveillance a eu lieu le 10 avril 2024 et la publication le 2 mai 2024.
Une information anonyme et des rapports de presse fin 2019 ont été à l'origine de l'enquête.
La société tchèque Autorité de surveillance a constaté que l'entreprise données à caractère personnel des utilisateurs de son logiciel antivirus et de ses extensions de navigateur à sa société sœur sans base légale. Les données transmises concernaient environ 100 millions d'utilisateurs et comprenaient notamment des historiques de navigation Internet pseudonymisés des utilisateurs, associés à un identifiant unique. En outre, la Autorité de surveillance a constaté que l'objectif de la Traitement Responsable avait mal informé ses utilisateurs (les personnes concernées) de ces transferts de données en affirmant que les données transmises étaient anonymes et utilisées exclusivement pour des analyses de tendances statistiques. La LSA a conclu que les historiques de navigation sur Internet, même s'ils ne sont pas complets, données à caractère personnel puisqu'il est possible de ré-identifier au moins certaines des personnes concernées. La faute est d'autant plus grave que l'entreprise est l'un des principaux experts en cybersécurité, qui fournit au public des outils pour protéger les données et les Vie privée à disposition.
Source : Le président de l'Office de protection des données personnelles
2. Verkkokauppa.com : 856 000 euros (Finlande)
Après une Plainte la société finlandaise Autorité de surveillance a enquêté sur les activités du site de vente en ligne Verkkokauppa.com. L'entreprise exigeait de ses clients qu'ils s'enregistrent avant de pouvoir effectuer des achats en ligne. Les achats dans la boutique en ligne n'étaient pas possibles sans la création d'un compte client.
Lors de l'examen de l'entreprise, il s'est avéré que les données des comptes clients de la boutique en ligne étaient conservées pour une durée indéterminée. De plus, la durée de conservation des données collectées n'était pas indiquée.
En outre, la pratique consistant à exiger la création d'un compte client pour les achats en ligne était contraire à la législation sur la protection des données. La création d'un compte client ou le stockage de données à caractère personnel résultant de cette création ne doivent pas être une condition préalable à la conclusion d'achats en ligne individuels.
La société finlandaise Autorité de surveillance a imposé, par décision du 6 mars 2024, un Amende d'un montant de 856.000 euros contre Verkkokauppa.com pour ne pas avoir fixé de délai de conservation des données des comptes clients. Il a également été demandé à l'entreprise de corriger la pratique de l'enregistrement nécessaire pour les achats en ligne. La décision a été publiée le 8 mai.
Source : Communiqué de presse de l'ombudsman de la protection des données
3. ministère grec de l'Intérieur : 400.000 euros
L'autorité grecque de protection des données a découvert, lors d'une enquête, que l'eurodéputée Anna-Michelle Asimakopoulou avait envoyé sans autorisation des courriels politiques à des électeurs grecs à l'étranger. Les adresses électroniques provenaient d'un registre du ministère de l'Intérieur établi en vue des élections de 2023. Il y a eu 236 plaintes selon lesquelles Asimakopoulou aurait envoyé des messages politiques non sollicités. En outre, 66 plaintes ont été déposées contre le ministère de l'Intérieur pour avoir transmis ces adresses.
L'enquête sur les Autorité de surveillance a révélé qu'Asimakopoulou utilisait une liste de 25 538 adresses électroniques, dont 23 392 correspondaient à celles du ministère de l'Intérieur. Les adresses n'étaient pas correctement sécurisées et le traitement a été effectué sans mesures de protection suffisantes.
L'autorité grecque de protection des données a donc adopté le 27.05.2024 un Amende d'un montant de 400 000 euros contre le ministère de l'Intérieur et a recommandé des mesures de Sécurité des données. En outre, la Autorité de surveillance demande au ministère de l'Intérieur de veiller au respect des règles de protection des données.
Une amende de 40.000 euros a été infligée à la députée Anna-Michelle Asimakopoulou.
Source : Avis de contravention
4. 4Finance Spain Financial Services, S.A.U. : 360 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a engagé une procédure d'amende contre 4Finance Spain Financial Services après qu'une violation de la sécurité a été signalée le 17 février 2023.
L'enquête a révélé que des pirates avaient utilisé des identifiants volés pour accéder aux comptes des clients et faire des demandes de crédit frauduleuses. L'accès aux données a été obtenu par des attaques par force brute et par credential stuffing. Au total, 9 497 clients ont été touchés et leurs données personnelles et financières ont été compromises par cet accès non autorisé.
En outre, il s'est avéré que l'entreprise n'avait pas immédiatement notifié la violation de la protection des données à l'AEPD ou aux personnes concernées, alors que cela était obligatoire en vertu des articles 33 et 34 du RGPD (RGPD) aurait été nécessaire. Ce n'est que sur ordre de l'AEPD que l'entreprise a informé les clients concernés de l'incident le 11 avril 2023.
Après l'incident, 4Finance Spain Financial Services a mis en place des mesures de sécurité supplémentaires, notamment l'introduction d'une authentification à deux facteurs (2FA) afin de prévenir de futures attaques.
L'amende de 600 000 euros initialement infligée a été réduite à 360 000 euros par décision du 8 avril 2024 en raison du plaidoyer de culpabilité. La décision a été publiée le 8 mai 2024.
Source : Amende de l'AEPD
5. Vodafone España : 200 000 euros (Espagne)
En raison de la Plainte d'un client, l'autorité espagnole de protection des données (AEPD) a entamé une procédure de sanction contre Vodafone España, S.A.U.. Le client avait reçu le 14 janvier 2022 un SMS annonçant un changement de titulaire de contrat sans son consentement. Vodafone a confirmé que le changement avait été effectué de manière frauduleuse dans un magasin de Rubí (Barcelone).
La société de téléphonie a indiqué que la fraude avait été commise par un tiers qui avait obtenu les données personnelles du client et les avait utilisées pour conclure plusieurs contrats frauduleux. Après enquête, Vodafone a constaté que la fraude avait été rendue possible par de faux documents d'identité et des contrôles d'identité insuffisants dans plusieurs magasins de Barcelone et de Valence.
Vodafone a pris des mesures pour résilier les contrats frauduleux, a remboursé le client pour les frais encourus et a ajouté le client à la liste interne des victimes de fraude afin d'éviter de futurs incidents.
L'AEPD a toutefois constaté que Vodafone n'avait pas pris de mesures suffisantes pour empêcher ce type de fraude. En outre, les mesures de sécurité étaient insuffisantes pour vérifier correctement l'identité des clients au moment de la conclusion du contrat.
L'AEPD a recommandé une révision des protocoles de sécurité de Vodafone et a infligé une amende de 200 000 euros pour violation de l'article 6, paragraphe 1, de la directive sur la protection des données. RGPD. Vodafone l'a fait selon la Autorité de surveillance a omis de vérifier la légalité de la Traitement des données à caractère personnel.
Source : Amende de l'AEPD
German 
English 
Italian 
French