GPDP – NTT Data – 9991064

Décision

🏷️ Nom:

NTT Data

🔢 Numéro:

9991064

📅 Date:

8 février 2024

⚖️ Autorité:

CNIL ou équivalent

🌍 Pays:

Italie

🔗 Lien:

Contexte

Le 22 octobre 2018, UniCredit S.p.a. (ci-après " UniCredit " ou " la Banque ") a notifié au Garante, conformément à l'article 33 du règlement, la violation de données à caractère personnel survenue à la suite d'une attaque informatique sur le système de banque en ligne pour le canal web mobile (ci-après " Mobile Banking Portal") qui a entraîné l'acquisition illicite de certaines données à caractère personnel de clients (en particulier, le prénom, le nom, le code fiscal et le code d'identification interne de la banque, avec l'exclusion de leurs données bancaires).

L'autorité italienne a mené une enquête, suite à quoi une sanction à l'encontre de la société a été proposée .

Apport(s)
Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence Extrait(s) pertinent(s)(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est « important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; [...] Cela s’applique également lorsque, comme dans le cas présent, un sous-traitant a recours à un sous-traitant ultérieur pour l’exécution d’activités spécifiques de traitement pour le compte d’un responsable de traitement ; l’obligation d’informer le responsable de traitement prévue par l’article 33, paragraphe 2, incombe toujours au sous-traitant initial, qui n’est pas tenu d’évaluer le risque découlant de la violation avant de la signaler au responsable de traitement. [...] Dans le cas présent, NTT Data aurait donc dû informer le responsable de traitement de la violation des données personnelles sans délai, c’est-à-dire dès le 11 et 12 octobre 2018, date à laquelle Truel IT en a eu connaissance. Article(s) du RGPD Article 28 – Sous-traitant Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel Thème(s)Violation de données Sous-traitant Obligations du sous-traitant Délai de notification Fait référence à Autres informations

Apport(s)

Violation de données - Délai de notification - 72 heures à compter de la découverte initiale y compris par un sous-traitant - Prise en compte du nombre d'acteurs impliqués - Absence

Extrait(s) pertinent(s)(Traduction) 4. [...] À cet égard, en ce qui concerne l’expression « sans retard injustifié », les « Lignes directrices 9/2022 sur la notification des violations de données à caractère personnel conformément au GDPR », recommandent que le responsable du traitement « notifie sans tarder au responsable du traitement, en fournissant par la suite toute information supplémentaire sur la violation dont il a connaissance » ; ceci est « important pour aider le responsable du traitement à respecter l’obligation de notification à l’autorité de contrôle dans les 72 heures; [...] Cela s’applique également lorsque, comme dans le cas présent, un sous-traitant a recours à un sous-traitant ultérieur pour l’exécution d’activités spécifiques de traitement pour le compte d’un responsable de traitement ; l’obligation d’informer le responsable de traitement prévue par l’article 33, paragraphe 2, incombe toujours au sous-traitant initial, qui n’est pas tenu d’évaluer le risque découlant de la violation avant de la signaler au responsable de traitement. [...] Dans le cas présent, NTT Data aurait donc dû informer le responsable de traitement de la violation des données personnelles sans délai, c’est-à-dire dès le 11 et 12 octobre 2018, date à laquelle Truel IT en a eu connaissance.
Article(s) du RGPD Article 28 – Sous-traitant
Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
Thème(s)Violation de données Sous-traitant Obligations du sous-traitant Délai de notification
Fait référence à
Autres informations

Références

Cette décision cite...

Cette décision est citée par...

Signaler une erreur / Faire une suggestion