adwr
#RGPD #Jurisprudence
Une décision de justice qui fera jurisprudence : un groupe de e-commerce (non cité, gérant 3 sites) a été piraté pendant 6 mois (depuis juillet 2019) sans aucune réaction, causant la fuite de millions de données clients (dont des données bancaires).
Au final, c’est la directrice générale qui a dû prendre les choses en main en ordonnant une cellule de crise, la suspension des paiements en ligne, et audit de sécurité.
Mais l'important est ce qui suit :
.../...
Mar 16 at 4:23pmWeb
Show threadadwr6d ago
.../...
Un directeur général adjoint, qui avait une délégation de pouvoir pour l’application du RGPD (sans être lui-même DPO) par tous les services sous son autorité, a été reconnu responsable (en appel), et depuis licencié. Conclusion de la cour : nommer un RSSI ou un DPO ne transfère par toute la responsabilité des dirigeants vers celui-ci : https://www.clubic.com/actualite-604765-un-dirigeant-licencie-apres-six-mois-de-piratage-non-detecte-sur-son-site-e-commerce-francais-se-bat-en-justice.html
.../...
Un dirigeant licencié après six mois de piratage non détecté sur son site e-commerce français, se bat en justice

Un site e-commerce a été infiltré pendant six mois par des pirates informatiques. Des millions de données bancaires volées plus tard, la cour d'appel de Paris a tranché sur la responsabilité cyber d'un cadre dirigeant, depuis licencié.

clubic.com
Show threadadwr6d ago
.../...
En effet, il faut rappeler que le RGPD (art. 24) indique que le DPO n’est pas responsable du non-respect du RGPD par l’organisme (même par une délégation de pouvoir) : ce sont les Responsables de Traitement (RT) qui ont cette responsabilité, comme leur nom l’indique.
Show threadadwr6d ago
.../...
Et puisque le DPO ne doit pas avoir de conflit d’intérêt, il ne peut normalement pas être lui-même RT.
Le DPO a d’autres prérogatives, comme la veille, le conseil, la formation, la collaboration avec l’autorité de contrôle, etc (voir articles 38 et 39 du RGPD).