Le responsable de traitement est une filiale de Poste Italiane, la principale société de services postaux d’Italie.

En août 2023, une personne non autorisée a accédé, via une cyberattaque de type ransomware, aux serveurs du responsable de traitement, contenant les données des employés et des candidats à un emploi du responsable du traitement (environ 25 000 personnes concernées).

Ces fichiers, publiés ensuite en ligne sur le dark web, contenaient non seulement le nom, le prénom et la date de naissance, mais également des données relatives à l’appartenance syndicale et à la santé des personnes concernées, tombant ainsi notamment sous le coup de l’ article 9 RGPD.

Le 17 août 2023, le responsable de traitement a notifié la violation de données à l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali).

Le 13 octobre 2023, l’APD a demandé au responsable de traitement de fournir des détails supplémentaires sur la violation de données, arguant que la première notification manquait de certains des éléments prévus par l’article 33(3) RGPD.

Le responsable de traitement a souligné que la violation de données était due à deux vulnérabilités dans le système informatique.

L’APD, dans une décision 10063782 du 04.07.2024, présentée, commentée et traduite sur gdprhub (https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10063782&mtc=today) considère d’abord que la notification du responsable de traitement manquait de certains éléments prévus à l’ article 33(3) RGPD. Conformément au considérant 87 RGPD, la notification faite à l’APD doit contenir des informations adéquates et exhaustives concernant la violation de données. Selon l’APD, l’objectif d’une telle notification est de permettre à l’APD de faire usage de ses compétences et de rétablir un niveau élevé de protection des données personnelles.

Dans le cas présent, la notification ne contenait aucune information sur les serveurs concernés,  ni sur les vulnérabilités utilisées pour accéder au système. De plus, le responsable de traitement n’a fait référence à aucune mesure prise pour atténuer les effets négatifs de la violation de données, alors que cela serait exigé par l’article 33(3)(d) RGPD.

L’APD a également noté que la violation de données avait pu se produire en raison de deux vulnérabilités présentes dans la plateforme Microsoft Exchange, permettant à un tiers non autorisé d’accéder au serveur et de se définir comme utilisateur administrateur.

Or Microsoft avait signalé ces vulnérabilités plusieurs mois avant la violation. L’Agence italienne de cybersécurité avait également fait de même. Cependant, le responsable de traitement n’avait pris aucune mesure pour résoudre ce problème.

L’APD se réfère à l’arrêt de la CJUE dans l’affaire C-340/21, Natsionalna agentsia za prihodite (https://curia.europa.eu/juris/document/document.jsf?docid=280623&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=FR&cid=1020807). Le simple accès non autorisé d’un tiers ne suffit pas à considérer que les mesures techniques et organisationnelles n’étaient pas « appropriées » au sens du RGPD (paragraphe 39 ; voir également C-687/21, MediaMarktSaturn , paragraphe 40).

Toutefois, comme le niveau de protection prévu par le RGPD dépend des mesures de sécurité adoptées par les responsables de traitement, ces derniers doivent être encouragés à faire tout ce qui est en leur pouvoir pour empêcher la survenance de violations de données ( C-340/21, Natsionalna agentsia za prihodite , para. 55).

Dans le cas d’espèce, il est évident que le responsable de traitement n’a pas fait tout ce qui était en son pouvoir, puisque les vulnérabilités ont été signalées près de 12 mois plus tôt.

Pour ces motifs, l’APD a infligé une amende de 900 000 € et a ordonné au responsable du traitement de mettre en œuvre des procédures internes afin de détecter et de résoudre en temps utile les vulnérabilités de son système informatique.

Me Philippe Ehrenström, avocat, LLM