COMMUNICATION
Information sur l'accès non autorisé aux données à caractère personnel
Mesdames, Messieurs,
Par la présente, conformément à l'article 34 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), nous vous informons d'une violation de la protection des données qui s'est produite au sein de notre organisation en tant que responsable du traitement des données à caractère personnel. Nos analyses internes ont montré que l'incident pouvait affecter vos données à caractère personnel. Par conséquent, veuillez lire attentivement la communication suivante.
Description de l'incident
Le 27.11.2024, nous avons découvert qu'il y avait eu un accès non autorisé à des données personnelles stockées par nous chez un partenaire externe (fournisseur d'hébergement). L'information sur l'incident a été reçue par courrier électronique. Le suspect a eu accès à notre base de données clients pour la période allant de février 2020 à novembre 2021.
Suite à un accès non autorisé, une personne non autorisée a eu accès à une base de données contenant les données des personnes effectuant un achat dans notre boutique en ligne ou achetant nos produits proposés sur d'autres plateformes de vente (dites marketplace) entre février 2020 et novembre 2021. Il s'agit notamment du nom, du prénom, de l'adresse de livraison, du nom de l'entreprise, des données nécessaires à la facturation (par exemple le montant de l'achat, mais sans les articles d'achat spécifiques), du nom de l'utilisateur effectuant l'achat, du numéro de téléphone, de l'adresse électronique (dans le cas d'achats de produits via la place de marché, l'adresse électronique figurant dans la base de données divulguée était cryptée, sans qu'il soit possible d'y avoir accès).
Notre analyse indique qu'aucun mot de passe, donnée de paiement ou autre donnée d'accès ou historique de vos transactions n'a été divulgué.
Immédiatement après la détection de l'incident, la base de données divulguée a été supprimée des ressources du partenaire et tous les mots de passe d'accès au service d'hébergement externe ont également été modifiés.
Qu'avons-nous fait pour sécuriser vos données ?
Dès la découverte de l'accès non autorisé, nous avons pris des mesures pour en éliminer les effets négatifs, en particulier :
- Dès sa découverte, nous avons retiré la base de données en question des ressources du partenaire.
- Nous informons le président de l'Office pour la protection des données personnelles en Pologne et les institutions concernées (par exemple, la police, le CERT) afin d'assurer une transparence totale des mesures prises.
- Nous procédons à un audit interne afin de clarifier tous les aspects de l'incident. Nous avons également demandé à notre fournisseur d'hébergement de procéder à une telle analyse.
Quelles sont les conséquences possibles ?
Les données qui ont été divulguées peuvent potentiellement être utilisées pour créer un compte en ligne (par exemple, sur les réseaux sociaux, par courrier électronique). Les données peuvent potentiellement être utilisées par ceux qui entrent en possession des données, par exemple pour des contacts non sollicités par e-mail, SMS ou appels téléphoniques (ce que l'on appelle le spam), y compris ceux au cours desquels des tentatives sont faites pour obtenir des données supplémentaires. Enfin, l'utilisation de données supplémentaires peut conduire au prêt d'objets spécifiques aux données spécifiées et à leur vol ultérieur par des tiers, ou à la prise en charge d'autres obligations, par exemple l'achat en ligne ou l'extorsion de crédits ou de prêts auprès d'institutions non bancaires. C'est pourquoi nous recommandons la plus grande prudence, en particulier lors des contacts par téléphone et par courrier électronique.
Que peut-on faire pour minimiser ou atténuer les effets négatifs potentiels ?
Nous recommandons de prendre les mesures suivantes :
- Faire preuve d'une extrême prudence lors de la réception de courriels, de messages SMS et d'appels téléphoniques suspects, en particulier ceux qui contiennent des liens ou des demandes de données supplémentaires.
- Évitez de donner des informations personnelles, en particulier lors d'appels téléphoniques et en réponse à des courriels ou à des messages SMS.
- Surveillez vos comptes en ligne pour détecter toute activité non autorisée.
- Faites attention aux mots de passe que vous utilisez pour accéder aux ressources en ligne. Ces mots de passe ne doivent pas contenir de mots ou de parties de mots faciles à deviner, en particulier ceux qui sont basés sur vos informations personnelles (par exemple, noms, numéros de téléphone, etc.).
- Méfiez-vous des courriels suspects, des liens et des pièces jointes à ces courriels (les pièces jointes ne doivent pas être envoyées sous forme d'archives ZIP ou RAR). Ces courriels peuvent contenir des logiciels malveillants (par exemple des virus, des chevaux de Troie) et peuvent également être utilisés pour tenter d'obtenir d'autres informations personnelles par le biais de l'hameçonnage.
- Nous vous recommandons également d'utiliser un logiciel antivirus dont la base de données des signatures de virus est à jour.
Où obtenir plus d'informations ?
Si vous avez des questions sur l'incident ou si vous avez besoin d'éclaircissements supplémentaires, nous avons désigné une équipe qui vous fournira les informations nécessaires en tant que point de contact. Vous pouvez contacter notre équipe par l'intermédiaire de l'adresse électronique : rodo@venusti.pl.
Nous vous présentons nos excuses pour les désagréments que cet incident a pu vous causer. Dans le même temps, nous tenons à vous assurer que nous mettons tout en œuvre pour garantir que les données à caractère personnel que nous traitons sont protégées avec le plus grand soin et que l'incident mentionné dans cette lettre n'est qu'un incident ponctuel que nous prenons très au sérieux.
Nous vous prions d'agréer, Madame, Monsieur, l'expression de nos salutations distinguées.
Venusti sp. z o.o.