• Home
  • CNIL
  • La CNIL sanctionne deux entreprises pour sécurité inadaptée

La CNIL sanctionne deux entreprises pour sécurité inadaptée

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email

L’autorité a sanctionné un responsable de traitement et son sous-traitant d’un montant de 150 000 euros et de 75 000 euros  pour ne pas avoir pris de mesures satisfaisantes pour faire face à des attaques du type « credential stuffing » sur le site web du responsable de traitement.

L’enquête de la CNIL entre juin 2018 et janvier 2020 sur le site web investigué a relevé que, suite à plusieurs notifications de violation de données personnelles, le site avait déjà subi ce genre d’attaque à plusieurs reprises.
Le « credential stuffing » est un type de cyberattaque où des informations de comptes volées sous-forme de liste d’identifiants et des mots de passe associés (souvent obtenus frauduleusement) sont utilisés pour accéder de façon non autorisée à des comptes utilisateurs par le biais de demandes de connexion automatisée à grande échelle adressées à des applications Web.
La CNIL a constaté que le cyber-attaquants pouvaient disposer de nom, prénom, adresse courriel et date de naissance des clients du site web, mais également les données sur leur carte de fidélité et sur leurs commandes.
La violation spécifique qui a été constatée par la CNIL figure à l’article 32 du RGPD, qui oblige de préserver la sécurité des données personnelles des clients.
De plus, les sociétés sanctionnées ont retardé la mise en place de mesures adéquates à la lutte contre ce genre d’attaques, qui elles-mêmes ne se sont pas révélées assez effectives.
En conséquence, la CNIL a imposé deux sanctions distinctes, en tenant compte des responsabilités respectives : 150 000 € vers le responsable du traitement du site et 75 000 € vers le sous-traitant.
Plus spécifiquement, l’autorité a mis l’accent sur le fait que le responsable du traitement doit mettre en œuvre les mesures nécessaires et renseigner le sous-traitant. Le sous-traitant, de sa part, devrait s’occuper de la recherche des meilleurs solutions techniques pour sécuriser les données et puis les proposer au responsable du traitement.

Évaluez votre niveau
de conformité

En quelques clics,
lancez sans engagement
et en toute conformité un
audit flash !

Pour recevoir votre audit flash gratuit et sans engagement, merci de bien vouloir remplir ce formulaire :