En 2020, un salarié a perdu trois clés USB
La CNIL Polonaise (UODO) a sanctionné, le 19 janvier 2023, un Tribunal Judiciaire du pays d’une amende de 6387 euros pour manque de mesures de sécurité adéquates ayant entraîné la perte de trois clés USB contenant des projets de jugements et des données personnelles d’un nombre non identifié de personnes concernées.
Deux clés USB n’étaient pas cryptées et contenaient des informations personnelles sur des « mis en cause » ou plaignants.
Les manquements
- Article 5(1)(f) du RGPD : garantir l’intégrité et la confidentialité des données.
- Article 24(1) du RGPD : mesures techniques et organisationnelles appropriées ; l’analyse des risques du responsable du traitement n’incluait pas toutes les menaces possibles, telles que la perte de confidentialité due à un manque de blocage des ports USB pour empêcher complètement l’utilisation de supports de stockage privés.
- Article 25(1) et 32 du RGPD : confidentialité dès la conception et mise en œuvre par défaut.
De plus, l’autorité polonaise a estimé que le responsable du traitement (Tribunal Judiciaire) ne s’était pas correctement assuré que les employés n’utiliseraient pas d’appareils portables privés et non cryptés pour stocker des données personnelles. L’UODO a ajouté que garantir la sécurité et la confidentialité des données est un processus continu qui nécessite des examens réguliers de l’adéquation et de l’efficacité des mesures techniques et organisationnelles adoptées.
À retenir pour une entreprise
- Il faut limiter autant que possible l’usage des clés USB ou tous supports amovibles et restreindre leur accès dès qu’une donnée personnelle peut y être stockée.
- Avant l’utilisation courante d’une clé par un collaborateur ou un service, il faut étudier l’intérêt, les risques, les alternatives sécurisées.
- Il faut régulièrement revoir l’utilité et la pertinence des clés en service et supprimer leur contenu dès qu’il n’est plus nécessaire ou que les données ont été transférées sur un autre support.
Source : décision de l‘UODO