L’Autorité nationale de contrôle du traitement des données personnelles a terminé, en décembre 2024, une enquête auprès de l’opérateur FARMEC SA et a constaté une violation de l’art. 25 paragraphe. (1) en liaison avec l’art. 32 paragraphe. (1) lettre. b), d) et par. (2) du règlement (UE) 2016/679 .

À ce titre , l’opérateur a été condamné à une amende de 24 854,50 lei (équivalent à 5 000 euros).

L’enquête a été ouverte suite à la transmission par l’opérateur FARMEC SA d’une notification de violation de la sécurité des données personnelles, conformément aux dispositions de l’art. 33 du règlement (UE) 2016/679.

Au cours de l’enquête, il a été constaté qu’à la suite d’une cyberattaque, une base de données des utilisateurs et des administrateurs du site Web de l’opérateur a été consultée, ce qui a conduit à l’extraction de données du système d’enregistrement susmentionné.

Il a également été constaté que l’opérateur n’avait pas mis en œuvre les mesures de sécurité nécessaires au moment de l’incident pour prévenir l’attaque et n’avait pas mis à jour ses systèmes informatiques vers la dernière version autorisée par la licence, pour faire face aux nouvelles cybermenaces.

Cela a conduit à la divulgation non autorisée ou à l’accès non autorisé à des données personnelles d’un nombre important de personnes concernées, telles que : nom, prénom, adresse e-mail, mot de passe crypté pour l’accès au compte utilisateur, violant ainsi les dispositions de l’art. 25 paragraphe. (1) en liaison avec l’art. 32 paragraphe. (1) lettre. b), d) et par. (2) du règlement (UE). 2016/679.

L’opérateur a payé l’amende prévue pour le délit.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_05_02_2025&lang=ro