Amende de 5033000€ pour Groupe Interserve Limitée

Amende de € pour Groupe Interserve Limitée

Commissaire à l'information (ICO)

Groupe Interserve Limitée

Date de l'amende:

19/10/2022

Structure ou entité mise en cause :

Groupe Interserve Limitée

Quelle est la base légale ?

Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité des informations

Détail des faits

L'autorité britannique de protection des données (DPA) a infligé une amende de 5 033 000 euros au groupe de construction Interserve Group Limited. Le responsable du traitement avait notifié à l'autorité de protection des données une violation de données conformément à l'article 33 du RGPD. Interserve avait subi une cyberattaque au cours de laquelle les attaquants avaient envoyé un e-mail de phishing à la boîte aux lettres de l'équipe comptable d'Interserve. L'e-mail avait été ouvert par un employé qui avait également téléchargé et ouvert un fichier zip joint. Cela a permis aux attaquants d'installer des logiciels malveillants et de siphonner les données personnelles de 113 000 employés. Les données siphonnées contenaient entre autres des informations sur les comptes bancaires, les numéros de sécurité sociale, l'origine ethnique, l'orientation sexuelle et la religion des personnes concernées. L'enquête de l'autorité de protection des données a révélé que des mesures de sécurité inadéquates avaient permis à l'attaque de se produire. Les employés d'Interserve, par exemple, n'avaient pas été suffisamment formés à la confidentialité des données. En outre, Interserve traitait les données personnelles sur des systèmes d'exploitation non pris en charge qui n'étaient plus soumis à des mises à jour de sécurité pour remédier aux vulnérabilités du système. De plus, Interserve n'avait pas effectué d'analyses de vulnérabilité adéquates. Finalement, l’équipe de sécurité informatique d’Interserve n’avait pas suffisamment enquêté sur l’attaque, car le logiciel antivirus signalait que le logiciel malveillant avait été supprimé.

Articles du RGPD concernés :

Télécharger le document officiel de la décision
👈 Revenir aux sanctions RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?