Après une fuite de données, le gestionnaire de patrimoine Scalable Capital a été condamné par le tribunal régional de Munich I à des dommages-intérêts pour infraction au Règlement Général sur la Protection des Données – RGPD.
Les données sont une question de confiance et les clients ont droit à une protection appropriée. Cela s’applique bien sûr particulièrement lorsque des données personnelles sensibles sont en jeu. En cas de vol de données, les consommateurs peuvent avoir droit à des dommages-intérêts en vertu du Règlement Général sur la Protection des Données, explique le cabinet d’avocats d’affaires MTR Rechtsanwälte.
Cela est clairement démontré par un jugement du tribunal régional de Munich I concernant Scalable Capital (Réf. : 31 O 16606/20). En octobre 2020, le courtier en ligne a signalé une fuite de données. Des personnes non autorisées ont ainsi eu accès à des données personnelles très sensibles telles que l’adresse, l’adresse e-mail, le numéro de compte, l’identifiant fiscal ou encore des copies de pièces d’identité de plus de 33 000 clients. Scalable a admis que, suite à une attaque de pirates informatiques sur un ancien prestataire de services, des failles de sécurité se sont également produites dans sa propre zone d’accès, permettant ainsi aux pirates d’accéder aux données.
Le plaignant avait un compte client chez Scalable Capital, qu’il utilisait pour des placements en valeurs mobilières et actions. En tant que victime du vol de données, il a fait valoir des demandes de dommages-intérêts. En raison des données dérobées, il était exposé au risque de vol d’identité, de tentatives d’accès à ses services utilisés et d’autres tentatives de fraude.
La plainte a été couronnée de succès. Le tribunal de Munich est parvenu à la conviction que la faille de sécurité aurait pu être évitée. Cependant, Scalable Capital avait omis de prendre des mesures organisationnelles appropriées. Ainsi, les données d’accès pour le prestataire de services n’ont pas été modifiées après la fin de la relation commerciale. Bien que le plaignant n’ait pas subi de pertes matérielles suite au vol de données, il avait néanmoins droit à une indemnisation pour préjudice moral de 2 500 euros, conformément à l’article 82, paragraphe 1, du RGPD, selon le tribunal de Munich. En outre, Scalable doit faire face à tous les dommages futurs résultant du vol de données.
De même, le tribunal de Cologne a accordé des dommages-intérêts à une victime du vol de données chez Scalable Capital (Réf. : 28 O 328/21).
Les jugements montrent que le RGPD constitue une bonne base légale pour les demandes de dommages-intérêts en cas de vol de données. Les entreprises devraient donc être d’autant plus attentives à protéger suffisamment les données de leurs clients.
Des avocats expérimentés en droit des TI peuvent conseiller.
