Est-ce que vous vous êtes déjà trompé en envoyant un mail à la mauvaise personne ?

C’est ce qui était arrivé à une société roumaine qui avait été sanctionnée par l’autorité de protection des données roumaine et avait reçu une amende de 10 000 euros.

Le mail envoyé par erreur contenait des documents avec les données personnelles d’une personne tierce au mail.

Pourquoi cette sanction ?

  • La société n’avait pas donné d’information claire sur pourquoi l’email a été envoyé à la mauvaise personne.
  • La société n’avait pas présenté de preuve d’avoir pris les mesures de sécurité correctives adéquates pour réduire le risque concernant la personne dont les données personnelles ont été divulguées.
  • La société n’avait pas notifié cette violation de données à l’autorité de protection des données roumaine.
  • La société n’avait pas pris de mesures de sécurité suffisantes pour empêcher la survenance de ce type d’incident.

Comment éviter ce type d’incident dans votre société ?

  • Sensibilisez vos employés au RGPD pour qu’ils vous informent immédiatement en cas de risque de violation de données personnelles.
  • Mettez en place des mesures de sécurité et des mesures organisationnelles pour éviter la survenance de ce type d’incident.
  • En cas d’email, contenant des données personnelles, envoyé à la mauvaise personne, demandez-vous s’il s’agit bien d’une violation de données personnelles au sens du RGPD.
  • S’il s’agit d’une violation de données, notifiez-la à la CNIL dans un délai de 72 heures à compter de la prise de connaissance de l’incident.
  • Demandez à la personne ayant reçu le mail de le supprimer ainsi que ses pièces-jointes.

⚠️ L’envoi d’un email à une mauvaise personne ne constitue pas automatiquement une violation de données personnelles devant être notifié à l’autorité de protection des données. L’analyse doit être faite au cas par cas.