Une sanction de la CNIL pour protection insuffisante contre le « credential stuffing »
CNIL, Décision du 27 janvier 2021
La CNIL rappelle que la sécurisation des données personnelles (article 32 du RGPD) est et demeure un sujet d’actualité. Dans sa décision du 27 janvier 2021, l’autorité sanctionne ainsi un responsable du traitement et son sous-traitant pour ne pas avoir mis en place des mesures suffisantes contre le « credential stuffing ». En publiant son commentaire de cette décision, la CNIL souhaite alerter les autres acteurs sur les dangers de cette pratique et sur les condamnations qu’ils risquent.
La CNIL est particulièrement active en ce moment, ainsi qu’en atteste sa nouvelle condamnation du 27 janvier dernier contre deux sociétés (le responsable du traitement et son sous-traitant).
Contrairement à des décisions précédentes, les amendes prononcées ne sont cependant pas particulièrement élevées : 150 000 euros pour le responsable de traitement et 75 000 euros pour son sous-traitant. Rien à voir donc avec les amendes prononcées contre Google et Amazon en décembre dernier …
L’auteur
