Selon l’expert, des milliers d’atteintes à la sécurité des données se produisent chaque année en Finlande.
Les e-mails en masse doivent être envoyés de manière à ce que les destinataires ne puissent pas voir les informations les uns des autres. Adobe Stock / AOP
La recherche d’emploi d’été du centre de compétence Vantaa a commencé en janvier. Des informations sur la recherche et les entretiens d’embauche qui auront lieu en février ont été envoyées à un grand nombre de demandeurs d’emploi de l’expérience d’emploi municipale à Vantaa et Kerava.
Cependant, le demandeur d’emploi qui recevait l’e-mail se frottait les yeux lorsque les coordonnées de dizaines d’autres destinataires étaient visibles pour le destinataire du message. En plus des adresses e-mail, le nom complet de la pièce a été trouvé dans le champ du destinataire.
Une erreur apparemment banale est une violation de la sécurité des données. L’e-mail doit être envoyé de manière à ce que les adresses e-mail des destinataires soient saisies dans le champ BCC. De cette façon, les destinataires ne verraient pas les informations des autres.
– Oui, selon la définition de la loi, il s’agit d’une faille de sécurité des données personnelles, précise le sous-commissaire à la protection des données Heljä-Tuulia Pihamaa.
Des milliers par an
C’est souvent une question d’erreur humaine, ce qui arrive souvent. Environ 11 000 cas arrivent chaque année au Commissariat à la protection des données, dont près de 50 % concernent des atteintes à la sécurité des données.
– Un très grand nombre d’incidents sont dus à une erreur humaine, précise Pihamaa.
C’est-à-dire précisément des situations où l’expéditeur du message a mis par inadvertance les adresses de tout le groupe dans le champ destinataire, alors que le champ BCC aurait dû être utilisé. Une autre situation typique est lorsque des informations sur une autre personne sont accidentellement envoyées à la mauvaise personne.
L’affaire a été traitée immédiatement
Dans le cas de Vantaa qui a été porté à l’attention d’Iltalehti, au moins un des destinataires du message avait signalé l’erreur à l’expéditeur.
Dans le message de retour, l’expéditeur s’est excusé pour l’erreur, a demandé de ne pas ignorer le message erroné et a déclaré qu’il transmettrait le message concernant l’erreur.
– Nous en avons discuté en équipe, mais il n’y a vraiment rien d’autre que vous puissiez faire dans une situation comme celle-là, à part souligner l’importance des soins, a commenté le chef de service sur le cas Kari Ahlström Services aux employeurs de Vantaa.
Ahlström dit que les « avis de sécurité de l’information selon la pratique » de la ville de Vantaa ont été rédigés à propos de l’erreur. La partie qui a commis l’erreur a l’obligation de signaler la violation de la sécurité des données à l’autorité.
« Il faut en tirer des leçons »
Dans certaines situations, les personnes concernées par l’erreur doivent également être avisées. Cela a également été fait dans le cas de Vantaa en envoyant un message d’excuses aux parties impliquées.
– Lorsque nous recevons une telle notification, nous évaluons l’ensemble. Si la situation semble être une erreur humaine et que le problème a été corrigé, il n’est généralement pas nécessaire de poursuivre l’enquête, explique Pihamaa.
Si les violations de la sécurité des données sont systématiques ou répétées, ou en raison d’une erreur, les mesures correctives nécessaires ne sont pas prises, telles qu’une notification à la victime de la violation, nous enquêterons plus en détail si nécessaire.
– Vous devez en tirer des leçons. Si ce type d’erreur se produit constamment, cela peut indiquer, par exemple, un manque de compétence et de formation dans l’organisation, et il faut y remédier, dit Pihamaa.
Kari Ahlström dit qu’après l’erreur, les services de l’employeur de Vantaa ont réfléchi à d’autres moyens possibles d’envoyer des messages. Cela pourrait être, par exemple, un programme où il n’est pas possible d’envoyer un message afin que les destinataires puissent voir les adresses des autres.