Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO
Amende record de 50 000€ en Belgique pour mauvaise désignation d’un DPO
Le 28 avril 2020, l’Autorité de protection des données belge (APD) a prononcé une sanction de 50 000€ (la plus importante de son histoire) contre le premier opérateur de téléphonie mobile du pays, Proximus, principalement pour avoir désigné comme Data Protection Officer (DPO) un salarié dont les fonctions étaient incompatibles avec ce rôle.
L’APD a en effet considéré que le responsable du département groupant conformité, gestion des risques et audit avait un pouvoir décisionnaire trop important pour être à l’abri des conflits d’intérêts.
La question de la compatibilité des fonctions avec le rôle de DPO n’est que très sommairement abordée dans le Règlement Général sur la Protection des Données (RGPD), à l’article 38 (6), enjoignant seulement à veiller à éviter tout conflit d’intérêts : « Le délégué à la protection des données peut exécuter d’autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêts ».
Les lignes directrices adoptées en 2017 par le G29 (devenu depuis précisent EDPB) les contours de cette notion : « L’absence de conflit d’intérêts est étroitement liée à l’obligation d’agir en toute indépendance ».
C’est pourquoi il est généralement déconseillé de désigner un dirigeant, DG, DRH ou DSI à la fonction de DPO d’un organisme. De telles fonctions sont en effet souvent accompagnées de prérogatives permettant de déterminer les finalités et les moyens du traitement de données à caractère personnel, mettant à mal la séparation qui doit exister entre le responsable de traitement et son DPO.
De telles désignations sont néanmoins fréquentes en pratique, mais au regard de la taille de la société Proximus (CA 2019 de plus de 5 000M€, près de 13 000 salariés) et des volumes de données traitées, l’APD n’a pas appliqué la clémence dont elle aurait pu faire preuve face à une PME dans un cas similaire.
La société Proximus a d’ores et déjà indiqué renoncer à interjeter appel de cette décision.
Pour plus d’informations, lire l’article paru sur le site web des Échos.be : « Proximus écope d’une amende record pour non-respect du RGPD«
Je partage
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?