L’Autorité nationale de contrôle du traitement des données personnelles a achevé, en octobre 2024, une enquête auprès de l’opérateur Altex Roumanie SA et a constaté une violation des dispositions de l’art. 32 par. (1) allumé. b) et de l’art. 32 par. (2) du Règlement (UE) 2016/679 (RGPD).
L’opérateur a ainsi été condamné à une amende de 99 516 lei, soit l’équivalent de 20 000 euros.
L’enquête a été ouverte suite au fait qu’Altex Roumanie SA a soumis deux notifications à l’Autorité Nationale de Surveillance concernant l’apparition de violations de la sécurité des données personnelles, comme suit :
a) L’opérateur a été informé par email par un tiers du fait que certains comptes de clients de l’opérateur étaient publiés sur une plateforme, les données personnelles d’un très grand nombre de personnes concernées étant concernées respectivement : nom, prénom, email, Mot de passe du compte altex.ro, informations disponibles dans le compte client, telles que l’adresse de livraison, no. téléphone, historique des commandes, données relatives aux cartes avec lesquelles le paiement en ligne est effectué, communications dans la relation avec l’opérateur ;
b) L’opérateur s’est révélé victime d’une attaque informatique de type « credential stuffing », par le biais de tentatives répétées de validation des mots de passe de certains comptes clients permettant de passer des commandes de cartes cadeaux ; il a été précisé qu’étaient concernées les données personnelles suivantes, pour un nombre à peu près significatif de personnes concernées : données d’identification permettant de se connecter au compte client : nom, prénom, adresse email, mot de passe d’accès au compte client, données financières liées aux cartes bancaires enregistrées dans le application/site.
Au cours de l’enquête, il a été constaté que l’opérateur Altex Roumanie SA n’a pas mis en œuvre les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité correspondant au risque présenté par le traitement, afin d’empêcher l’accès illégal aux comptes clients de l’opérateur. Cela a conduit à l’accès non autorisé aux données personnelles d’un très grand nombre de clients de l’opérateur au moyen de deux attaques informatiques distinctes impliquant le détournement de certains comptes.
En même temps, conformément à l’art. 58 par. (2) allumé. d) du Règlement (UE) 2016/679, les mesures correctives suivantes ont été ordonnées :
– La mise en œuvre technique et procédurale des mesures suivantes pour réduire le risque de violation de la confidentialité des données personnelles par une attaque informatique sur les plateformes d’authentification des comptes clients sur tous les sites/applications e-commerce gérés : notification de connexion d’un nouvel appareil, affichage du compte de l’appareil connexions, politique de complexité et historique des mots de passe sur tous les comptes clients avec un intervalle d’expiration prédéfini ;
– Mise en place technique et procédurale d’un système de suivi du trafic Internet entrant et sortant (entrant/sortant) exécuté sur les plateformes d’authentification dans les comptes clients sur tous les sites/applications e-commerce gérés.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_18.11.2024&lang=ro