Amende de 400000€ pour Transavie

Amende de € pour Transavie

Autorité de surveillance néerlandaise pour la protection des données (AP)

Transavie

Date de l'amende:

12/11/2021

Structure ou entité mise en cause :

Transavie

Quelle est la base légale ?

Mesures techniques et organisationnelles insuffisantes pour assurer la sécurité de l'information

Détail des faits

La DPA néerlandaise a infligé une amende de 400 000 euros à la compagnie aérienne Transavia. En 2019, la compagnie aérienne a subi une violation de données, au cours de laquelle un pirate informatique a eu accès aux systèmes de Transavia via deux comptes détenus par le service informatique de l'entreprise. Cela aurait pu potentiellement permettre au pirate d'accéder à des données telles que les noms, les dates de naissance, le sexe, les adresses e-mail, les numéros de téléphone, les informations de vol et les numéros de réservation de 25 millions de passagers. Il a été découvert que le pirate informatique avait en fait téléchargé les données personnelles de 83 000 personnes. Dans 367 cas, les données comprenaient des informations médicales sur des personnes qui avaient demandé, par exemple, un transport en fauteuil roulant ou des services supplémentaires parce qu'elles étaient aveugles ou sourdes. La DPA a noté qu'un manque de mesures de sécurité a permis au pirate d'accéder aux systèmes. Ainsi, il était possible d'accéder aux systèmes de la compagnie aérienne en saisissant simplement le mot de passe. Les systèmes n'incorporaient pas d'authentification multifacteur. De plus, les droits d'accès des comptes n'étaient pas limités aux systèmes nécessaires, permettant au pirate de les utiliser pour accéder à plusieurs systèmes Transavia. La DPA a constaté que Transavia avait manqué à son obligation de mettre en œuvre des mesures techniques et organisationnelles pour assurer un niveau de sécurité approprié au risque pour les personnes concernées.

Articles du RGPD concernés :

Télécharger le document officiel de la décision
👈 Revenir aux sanctions RGPD

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité aux règlements de protection des données personnelles.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre