skip to Main Content
PAR L’AUTORITÉ ISLANDAIS DE PROTECTION DE DONNÉES: Violation De La Sécurité D’InfoMentors Ehf

PAR L’AUTORITÉ ISLANDAIS DE PROTECTION DE DONNÉES: violation de la sécurité d’InfoMentors ehf

This post is also available in: Italiano English Español

L’autorité de protection des données a imposé à InfoMentor ehf une sanction de 3.500.000 millions d’ISK. En raison d’une violation de la sécurité avenue sur le système Web Mentor en Février 2019. En raison de certaines lacunes du système, deux parties, l’une en Islande et l’autre en Suède, ont pu accéder à des numéros d’identification et des images (avatar) sur un total de 424 enfants sans autorisation.

Le point faible était que les numéros système à six chiffres des étudiants étaient visibles dans l’URL d’une page spécifique dans le système Mentor et qu’il serait possible d’accéder aux informations personnelles incluses simplement en modifiant les numéros dans l’URL pertinente.

InfoMentor ehf. Il a admis que l’erreur humaine avait signifié que la correction de la déficience n’avait pas été complètement achevée, mais des instructions en ce sens avaient été laissées. Pour cette raison, une solution avait déjà été développée, mais n’avait pas été mise en œuvre dans le système jusqu’à ce que l’entreprise ait connu le défaut de sécurité.

L’Autorité a estimé que la violation de la sécurité aurait pu être évitée par un suivi approprié et des essais des mesures de sécurité.

L’Autorité a conclu qu’InfoMentor ehf. Il n’avait pas garanti la sécurité des informations personnelles au sein du système Mentor selon les modalités demandées à l’article 32, paragraphe 1, sous b) et d), du règlement (EU) 2016/679, cf. L’article 27, paragraphe 1, de la loi 90/2018, sur la protection des informations personnelles, cf. également l’article 8, paragraphe 1, de la loi et l’article 5, paragraphe 1, sous f), du règlement.

InfoMentor ehf. Elle n’a pas assuré la sécurité adéquate des informations personnelles des personnes enregistrées qui ont été intéressées par la violation de sécurité lorsque la société a invité les numéros ID des personnes concernées dans différents cas à l’école et le responsable de mauvaise vie privée.

Le traitement par InfoMentors ehf. sur les informations personnelles des personnes concernées à cet égard Article 8, paragraphe 1, point 6 Loi No. 90/2018, Recueil. paragraphe 1 (f) Article 5 du règlement.

La décision relative à la sanction administrative a notamment tenu compte du nombre de personnes enregistrées qui ont été touchées depuis l’atteinte à la sécurité et qui auraient pu être touchées par le nombre d’utilisateurs du système Mentor. Il était également très important qu’il s’agisse d’informations personnelles d’enfants bénéficiant d’une protection spéciale en vertu de la loi 90/2018 et du règlement.

L’Autorité de protection des données à caractère personnel a également ressenti la nécessité d’adresser des demandes plus respectueuses à InfoMentors ehf en tant que responsable du traitement, compte tenu du fait que l’activité principale de l’entreprise est le développement et le fonctionnement de un système web spécifiquement destiné au traitement des informations personnelles sur les mineurs.

Par ailleurs, rien n’indique que les personnes enregistrées aient subi des dommages du fait de la violation de la sécurité, en plus de ceux que InfoMentor ehf a fourni des données qui révèlent les mesures prises par l’entreprise afin d’assurer la sécurité des informations personnelles dans le Système Mentor.

La sanction administrative a été fixée à 350.000.000 millions d’ISK.

Compte tenu du fait que la violation de sécurité a concerné une personne en Suède, l’autorité chargée de la protection des données a notifié l’autorité chargée de la protection des données dans l’Espace économique européen.

L’autorité de protection des données est considérée comme l’autorité de contrôle principale aux fins du préambule du règlement (UE) 2016/679 et l’autorité de contrôle suédoise, Integritetsskyddsmyndigheten (anciennement Datainspektionen), est l’autorité de contrôle pertinente. Conformément à l’article 60 du règlement, l’autorité chargée de la protection des données a transmis un projet de décision à l’autorité suédoise.

Aucune observation n’ayant été reçue, la décision est considérée comme contraignante pour le contrôleur de la protection de l’intégrité, voir.  Article 60, paragraphe 6, du règlement. Il est à noter qu’il s’agit de la première décision du Superviseur pour la protection des données à caractère personnel après l’entrée en vigueur du règlement et de la loi n. 90/2018 sur le traitement transfrontalier des données à caractère personnel.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI ISLANDA

Back To Top