L’autorité de contrôle Norvégienne, la Norwegian Supervisory Authority, a condamné la deuxième ville du pays à une sanction administrative pécuniaire d’un montant de 170 000 euros pour violation des dispositions relatives au RGPD. Cette sanction ‘est accompagnée d’une publicité de la décision.

En l’espèce, la municipalité de Bergen a connu un incident de sécurité qui a concerné des fichiers informatiques contenant les noms d’utilisateur et les mots de passe de plus de 35 000 comptes d’utilisateurs dans le système informatique de la municipalité. Ces comptes utilisateurs concernaient à la fois les élèves des écoles primaires de la municipalité et les employés des mêmes écoles.

Lors de son contrôle après la violation de sécurité, l’autorité norvégienne a considéré que les mesures de sécurité qui avaient été adoptées par la municipalité étaient insuffisantes et que c’est ce manquement qui avait permis que le public y ait accès. L’absence de mesures de sécurité dans le système a permis à quiconque de se connecter aux différents systèmes d’information de l’école et d’accéder ainsi à différentes catégories de données personnelles relatives aux élèves et aux employés des écoles.

Le montant particulièrement élevé de la sanction est lié au fait que les données accessibles concernées particulièrement des enfants et que la municipalité avait été prévenue à plusieurs reprises du manque de mesure techniques et organisationnelles protégeant les données à caractère personnel.

Cette sanction permet de constater, une nouvelle fois, que les sanctions contre les acteurs publics s’articulent pour le moment encore sur les articles 5 (1) f) et 32 du RGPD sur les mesures de sécurité.