L’autorité danoise de protection des données a choisi de signaler la municipalité de Lyngby-Taarbæk à la police, car l’autorité danoise de protection des données estime que la municipalité n’a pas satisfait aux exigences d’un niveau de sécurité approprié dans le règlement sur la protection des données.
La municipalité de Lyngby-Taarbæk a été condamnée à une amende de 350 000 à 400 000 DKK. pour ne pas avoir respecté son obligation en tant que responsable du traitement de mettre en œuvre des mesures de sécurité appropriées dans plusieurs cas.
L’autorité danoise de protection des données a eu connaissance de cas dans lesquels la municipalité a signalé une violation de la sécurité des données personnelles concernant un accès non autorisé aux données personnelles.
Deux examens concernaient l’absence de lignes directrices et de procédures pour mettre fin à l’accès des utilisateurs et l’absence de contrôles réguliers de celles-ci. Le problème concernait le système informatique KMD Nexus, qui, entre autres, a été utilisé dans le domaine des soins, et qui contenait donc des données personnelles confidentielles et sensibles sur un grand nombre de citoyens de la commune.
En raison du manque de sécurité de la municipalité, au moins 1 000 anciens employés ont continué à avoir accès au système après la fin de leur emploi. Selon la municipalité, il y a eu accès aux données personnelles d’env. 30 000 citoyens, et dans au moins un cas, cet accès a été abusé par un ancien employé qui a accédé à des informations sur 1 022 citoyens.
Un troisième signalement concernait une personne non autorisée qui avait abusé des informations de connexion d’un employé de la commune. Cela donnait accès aux services Office de l’employé, notamment Outlook, OneNote et SharePoint, qui contenaient des informations sur env. 5 000 citoyens, salariés et partenaires commerciaux.
Le KMD Nexus et les services Microsoft étaient accessibles directement depuis Internet. Dans ce contexte, l’Autorité de protection des données a examiné si la municipalité de Lyngby-Taarbæk avait mis en œuvre une authentification multifacteur ou une autre sécurité efficace de ces connexions d’accès à distance. Cela ne s’est pas avéré être le cas, car les employés pouvaient se connecter en utilisant uniquement un nom d’utilisateur et un mot de passe.
Les mesures de sécurité manquantes étaient actuelles depuis la mise en service des services Microsoft et KMD Nexus respectivement en 2016 et 2018.
Exigences pour une sécurité adéquate
Les responsables du traitement des données ont le devoir de veiller à ce que les données personnelles traitées ne soient pas portées à la connaissance de personnes non autorisées.
« Cela peut, entre autres, est assurée en veillant en permanence à ce que les employés aient uniquement accès aux systèmes et aux informations dont ils ont besoin dans leur travail quotidien, et que cet accès prenne fin lorsqu’ils ne sont plus employés. C’est pourquoi les exigences en matière de gestion des utilisateurs font également partie des mesures de sécurité de base depuis de nombreuses années », explique Vibeke Dyssemark, consultante en chef à l’Autorité norvégienne de protection des données, et poursuit :
« Cependant, des erreurs peuvent survenir dans ces processus et des contrôles appropriés doivent donc également être effectués pour garantir que l’accès des utilisateurs a effectivement été terminé correctement et en temps opportun lorsque les employés changent de fonction de travail ou s’arrêtent. »
Vibeke Dyssemark souligne également que l’accès aux systèmes informatiques contenant des données personnelles directement depuis Internet comporte un risque élevé :
« Lorsque vous donnez à vos employés l’accès à des systèmes informatiques contenant des données personnelles directement depuis Internet, le risque augmente que des personnes non autorisées – par ex. les pirates informatiques – ont accès aux informations et peuvent en abuser. Si l’accès est accordé à des informations dignes de protection, il est depuis longtemps nécessaire de mettre en œuvre une authentification multifacteur pour garantir un niveau de protection adéquat.
Recommandation d’amende
L’autorité danoise de protection des données procède toujours à une évaluation concrète de la gravité du cas conformément à l’article 83, paragraphe 1, du règlement sur la protection des données. 2, lors de l’évaluation de la sanction qui est la bonne, de l’avis de l’autorité de contrôle.
Lorsqu’elle évalue s’il convient d’infliger une amende et recommande son montant, l’autorité danoise chargée de la protection des données a mis particulièrement l’accent sur le fait que la municipalité de Lyngby-Taarbæk n’a pas, dans plusieurs cas et pendant une longue période, mis en œuvre des mesures de sécurité de base. En particulier en ce qui concerne la gestion des utilisateurs, l’accent a également été mis sur le fait que la municipalité n’avait pas mis en œuvre des directives et des procédures appropriées, bien qu’elle ait été informée à plusieurs reprises de lacunes dans ce domaine.
Lors de la fixation du montant de l’amende, l’autorité de contrôle a également tenu compte des exigences du règlement sur la protection des données selon lesquelles l’amende dans chaque cas individuel doit être effective, proportionnée à la violation et avoir un effet dissuasif. L’accent a également été mis sur la taille de la commune en termes de population et de permis d’exploitation total.