J’ai trouvé ce cas particulièrement intéressant: L’autorité néerlandaise n’a pas sanctionné le site Booking pour une violation des données personnelles liées à un traitement des données non-conforme au RGPD, mais pour un retard de déclaration d’une fuite de données.
En effet, une partie des données de Booking ont été piratées en décembre 2018 :
- des données de connexion de 40 hôtels
- concernant plus de 4000 clients
- le nom, l’adresse email, la date de naissance des utilisateurs
- des données de cartes de paiement de presque 300 clients
- dont le numéro de vérification sur le dos de la carte dans presque 100 cas
L’entreprise a déclaré cette fuite seulement début février 2019. Cela fait un délai de 22 jours après le constat, alors que le RGPD impose un délai de maximum 72 heures pour une première déclaration en cas de « violation » de données personnelles.
A noter également que la sanction prononcée initialement était de 475 000 euros. Mais l’autorité la réduite à 50 000 euros, suite à la coopération de Booking. Comme quoi, il est utile de coopérer avec les autorités de protection des données.
Conclusion :
Afin d’éviter des sanctions, il est nécessaire de se conformer à l’ensemble du règlement sur la protection des données personnelles. Il est donc essentiel de former l’ensemble des directions afin qu’ils connaissent toutes les règles, et les appliquent, bien évidemment.
Merci au site « Cyberguerre » pour l’article détaillé concernant cette sanction ici.
Merci aux 116 lecteurs de cet article !