| La CNIL a sanctionné (de manière non publique) un responsable de traitement et un sous-traitant pour manquement à leur obligation de sécurité.
La CNIL s’était notamment intéressée à ces deux acteurs en raison de nombreuses notifications de violation de données personnelles faisant suite à des attaques lancées à partir des robots sur le site internet du responsable de traitement. Les sociétés étaient en cours de développement d’un outil spécifique permettant de détecter et de bloquer ce type d’attaques. Ce développement a cependant pris un an. En conséquence, la CNIL considère qu’ils auraient pu se concentrer sur des mesures plus rapides et plus simples permettant de limiter d’ores et déjà le nombre d’attaques, notamment : – la limitation du nombre de requêtes autorisées par adresse IP, – l’apparition d’un CAPTCHA dès la première tentative d’authentification des utilisateurs à leur compte. A noter que le responsable du traitement et le sous-traitant sont chacun soumis à une amende distincte : respectivement de 150 000 euros et de 75 0000. En effet, la CNIL considère qu’il est aussi du rôle du sous-traitant de rechercher les mesures de sécurité les plus appropriées pour les proposer au responsable du traitement. « Credential stuffing » : la CNIL sanctionne un responsable de traitement et son sous-traitant, Communiqué du 27/12/2021, CNIL |
