En mai 2024, une amende de plusieurs millions d'euros a de nouveau été infligée pour de graves violations de la protection des données. Et cela justement contre une entreprise qui est censée protéger ses clients sur Internet.
1. Avast Software et Avast Limited : 13,9 millions d'euros (République tchèque)
L'autorité tchèque de protection des données a infligé une amende de 13,9 millions d'euros (351 millions de CZK) à la société Avast Software, basée à Prague (République tchèque), et à la société Avast Limited. La décision finale de l'autorité de contrôle compétente a été prise le 10 avril 2024 et publiée le 2 mai 2024.
Une information anonyme et des rapports de presse fin 2019 ont été à l'origine de l'enquête.
L'autorité de contrôle tchèque a constaté que la société avait transféré, sans base légale, des données à caractère personnel des utilisateurs de son logiciel antivirus et de ses extensions de navigateur à sa société sœur. Les données transférées concernaient environ 100 millions d'utilisateurs et comprenaient notamment des historiques de navigation Internet pseudonymisés des utilisateurs, associés à un identifiant unique. En outre, l'autorité de contrôle a constaté que le responsable du traitement avait mal informé ses utilisateurs (les personnes concernées) de ces transferts de données en affirmant que les données transférées étaient anonymisées et utilisées uniquement pour des analyses de tendances statistiques. La LSA a conclu que les historiques de navigation sur Internet, même s'ils ne sont pas complets, peuvent constituer des données à caractère personnel, puisqu'il est possible de ré-identifier au moins certaines des personnes concernées. La faute est d'autant plus grave que l'entreprise est l'un des principaux experts en cybersécurité et qu'elle met à la disposition du public des outils de protection des données et de la vie privée.
Source : Le président de l'Office de protection des données personnelles
2. Verkkokauppa.com : 856 000 euros (Finlande)
Suite à une plainte, l'autorité de surveillance finlandaise a enquêté sur les activités du site de vente en ligne Verkkokauppa.com. L'entreprise exigeait de ses clients qu'ils s'enregistrent avant de pouvoir effectuer des achats en ligne. Les achats dans la boutique en ligne n'étaient pas possibles sans la création d'un compte client.
Lors de l'examen de l'entreprise, il s'est avéré que les données des comptes clients de la boutique en ligne étaient conservées pour une durée indéterminée. De plus, la durée de conservation des données collectées n'était pas indiquée.
En outre, la pratique consistant à exiger la création d'un compte client pour les achats en ligne était contraire à la législation sur la protection des données. La création d'un compte client ou le stockage de données à caractère personnel résultant de cette création ne doivent pas être une condition préalable à la conclusion d'achats en ligne individuels.
Par décision du 6 mars 2024, l'autorité de surveillance finlandaise a infligé une amende de 856.000 euros à Verkkokauppa.com pour ne pas avoir fixé de période de conservation des données des comptes clients. Il a également été demandé à l'entreprise de corriger la pratique de l'enregistrement nécessaire pour les achats en ligne. La décision a été publiée le 8 mai.
Source : Communiqué de presse de l'ombudsman de la protection des données
3. ministère grec de l'Intérieur : 400.000 euros
L'autorité grecque de protection des données a découvert, lors d'une enquête, que l'eurodéputée Anna-Michelle Asimakopoulou avait envoyé sans autorisation des courriels politiques à des électeurs grecs à l'étranger. Les adresses électroniques provenaient d'un registre du ministère de l'Intérieur établi en vue des élections de 2023. Il y a eu 236 plaintes selon lesquelles Asimakopoulou aurait envoyé des messages politiques non sollicités. En outre, 66 plaintes ont été déposées contre le ministère de l'Intérieur pour avoir transmis ces adresses.
L'enquête de l'autorité de contrôle a révélé qu'Asimakopoulou utilisait une liste de 25.538 adresses électroniques, dont 23.392 correspondaient à celles du ministère de l'Intérieur. Les adresses n'étaient pas correctement sécurisées et le traitement était effectué sans mesures de protection suffisantes.
L'autorité grecque de protection des données a donc infligé une amende de 400.000 euros au ministère de l'Intérieur le 27.05.2024 et a recommandé des mesures pour améliorer la sécurité des données. En outre, l'autorité de contrôle a demandé au ministère de l'Intérieur de veiller au respect des règles de protection des données.
Une amende de 40.000 euros a été infligée à la députée Anna-Michelle Asimakopoulou.
Source : Avis de contravention
4. 4Finance Spain Financial Services, S.A.U. : 360 000 euros (Espagne)
L'autorité espagnole de protection des données (AEPD) a engagé une procédure d'amende contre 4Finance Spain Financial Services après qu'une violation de la sécurité a été signalée le 17 février 2023.
L'enquête a révélé que des pirates avaient utilisé des identifiants volés pour accéder aux comptes des clients et faire des demandes de crédit frauduleuses. L'accès aux données a été obtenu par des attaques par force brute et par credential stuffing. Au total, 9 497 clients ont été touchés et leurs données personnelles et financières ont été compromises par cet accès non autorisé.
En outre, il s'est avéré que l'entreprise n'avait pas immédiatement notifié la violation de la protection des données à l'AEPD ou aux personnes concernées, alors que cela aurait été nécessaire en vertu des articles 33 et 34 du règlement général sur la protection des données (RGPD). Ce n'est que sur ordre de l'AEPD que l'entreprise a informé les clients concernés de l'incident le 11 avril 2023.
Après l'incident, 4Finance Spain Financial Services a mis en place des mesures de sécurité supplémentaires, notamment l'introduction d'une authentification à deux facteurs (2FA) afin de prévenir de futures attaques.
L'amende de 600 000 euros initialement infligée a été réduite à 360 000 euros par décision du 8 avril 2024 en raison du plaidoyer de culpabilité. La décision a été publiée le 8 mai 2024.
Source : Amende de l'AEPD
5. Vodafone España : 200 000 euros (Espagne)
Suite à la plainte d'un client, l'autorité espagnole de protection des données (AEPD) a entamé une procédure de sanction contre Vodafone España, S.A.U.. Le client avait reçu le 14 janvier 2022 un SMS annonçant un changement de titulaire de contrat sans son consentement. Vodafone a confirmé que le changement avait été effectué de manière frauduleuse dans un magasin de Rubí (Barcelone).
La société de téléphonie a indiqué que la fraude avait été commise par un tiers qui avait obtenu les données personnelles du client et les avait utilisées pour conclure plusieurs contrats frauduleux. Après enquête, Vodafone a constaté que la fraude avait été rendue possible par de faux documents d'identité et des contrôles d'identité insuffisants dans plusieurs magasins de Barcelone et de Valence.
Vodafone a pris des mesures pour résilier les contrats frauduleux, a remboursé le client pour les frais encourus et a ajouté le client à la liste interne des victimes de fraude afin d'éviter de futurs incidents.
L'AEPD a toutefois constaté que Vodafone n'avait pas pris de mesures suffisantes pour empêcher ce type de fraude. En outre, les mesures de sécurité étaient insuffisantes pour vérifier correctement l'identité des clients au moment de la conclusion du contrat.
L'AEPD a recommandé une révision des protocoles de sécurité de Vodafone et a infligé une amende de 200 000 euros pour violation de l'article 6, paragraphe 1, du RGPD. Selon l'autorité de contrôle, Vodafone n'a pas assuré la légalité du traitement des données à caractère personnel.
Source : Amende de l'AEPD