Après une faille de sécurité, un site américain laisse accessible à la police un million de profils ADN
En réactualisant des paramètres après une attaque informatique, le site généalogique GEDmatch a laissé en libre accès à la police l’ensemble des données génétiques de ses utilisateurs, y compris ceux qui n’y avaient pas consenti.
C’est le genre de messages que l’on n’aime pas recevoir de la part d’une entreprise. Surtout quand on lui a confié son profil génétique. Lundi 20 juillet, le site généalogique américain GEDmatch a confirmé qu’il avait été victime d’une attaque informatique.
Les données présentes sur GEDmatch sont particulièrement sensibles. La particularité de ce site, c’est que les clients de cette entreprise, détenteurs de leur profil ADN, peuvent rechercher dans l’immense banque de données du site ceux relevant de la même branche généalogique qu’eux, afin de retrouver des membres de leur famille. Au préalable, ils doivent enregistrer leurs propres informations génétiques et généalogiques…[Lire la suite]
Commentaire de notre Expert :
Les fuites de données représentent de vraies plaies pour les responsables de traitement et encore plus lorsqu’il s’agit de données à caractère personnel. C’est la pire des choses qui puisse arriver à des propriétaires de données à caractère personnel car en général, les établissement sont absolument incapables de détecter une fuite de données. Ce n’est que lorsque les données sont diffusées en clair, lorsque la presse diffuse l’info en « Une » ou lorsque les données sont utilisées à des fins malveillantes que le dépositaire découvre qu’il a été volé.
Il n’y a pas que dans le cas de fuites de données dites «sensibles » ou « particulières » que l’impact peut être important pour leurs propriétaires. Il est souvent oublié de considérer de simples adresses, dates de naissances ou numéros de téléphones comme étant DANS TOUS LES CAS des données CONFIDENTIELLES.
Les conséquences d’une fuite de données à cacactères personnel sont multiples :
- Diffusion sur Internet d’informations confidentielles ;
- Diffusion sur Internet d’informations pouvant être utilisées à l’insu de leur propriétaire ;
- Diffusion sur Internet d’informations pouvant être utilisées à des fins malveillantes telles que l’usurpation d’identité ;
- Perte de confiance des usagers dans l’organisme concerné ;
Ce que dit la CNIL : « Le règlement général sur la protection des données (RGPD) impose aux responsables de traitement de documenter, en interne, les violations de données personnelles et de notifier les violations présentant un risque pour les droits et libertés des personnes à la CNIL et, dans certains cas, lorsque le risque est élevé, aux personnes concernées. »
Ainsi, même si le professionnel se trouve victime de piratage et d’une fuite de données à caractère personnel, il doit, dans les 72 heures après avoir pris connaissance de l’acte malveillant, le signaler à la CNIL qui jugera utile d’accompagner le professionnel, enquêter, mettre en demeure et éventuellement sanctionner les négligeances ou obliger d’informer les propriétaires des données volées.
La sanction pouvant être pire qu’une sanction financière, tant la réputation peut être entachée, nous conseillons fortement de faire auditer votre installation tant en terme de sécurité qu’en terme de démarche de mise en conformité RGPD.
