Lituanie: 450 000 € d’amende RGPD pour défaut de MFA chez InMedica
Le régulateur lituanien inflige 450 000 € à InMedica pour deux incidents (intrusion 2024, ransomware 2025), pointant l’absence de MFA et de contrôles d’accès, en violation des articles 5(1)(f), 24(1) et 32(1)(b) RGPD.
Le 29 juin 2026, l’Autorité lituanienne de protection des données (VDAI/SDPI) a infligé une amende de 450 000 € à UAB InMedica à la suite de deux incidents distincts: un accès non autorisé révélé en septembre 2024 dans le système patient de « Kardiolita » (dont InMedica est devenue ayant‑droit le 25 juin 2025) et une attaque par rançongiciel en 2025 ayant chiffré quatre systèmes traitant des données de patients et d’employés. L’enquête a mis en évidence l’absence d’authentification multifacteur (MFA) pour des accès externes et des comptes privilégiés, ainsi que des mots de passe insuffisamment robustes.
Cadre légal et fondement
La VDAI retient les articles 5(1)(f) (intégrité et confidentialité), 24(1) (responsabilité du responsable de traitement) et 32(1)(b) (sécurité adaptée au risque, incluant l’authentification renforcée). Ces obligations s’inscrivent au cœur du cadre RGPD et des mesures de sécurité exigées. La décision souligne l’inadaptation des mécanismes d’authentification pour les connexions externes et l’absence de restriction d’accès aux seules personnes autorisées. Le cumul des faits (2024/2025), la nature sensible des données (santé) et l’ampleur des traitements ont conduit à une sanction unique visant InMedica, en sa qualité de successeur légal de Kardiolita.
Ce que cette affaire change pour les entreprises luxembourgeoises
- Signal fort sur la MFA et l’accès distant: l’absence de MFA sur des accès externes à des SI sensibles est qualifiée de manquement à l’article 32. Les organismes manipulant des données de santé, RH, finance ou des systèmes critiques doivent considérer la MFA résistante au phishing comme un standard minimal.
- Continuité juridique et responsabilité: en cas de transfert universel (fusion/rachat), le successeur répond des failles antérieures. Les due diligences cyber-RGPD et les plans de remédiation post‑closing deviennent incontournables.
- Ampleur et temporalité: deux événements espacés partageant les mêmes causes racines (contrôles d’accès, MFA) renforcent la gravité au titre de l’article 83 lorsque la correction n’est pas démontrée entre les incidents.
- Acteurs régulés au Luxembourg: l’exigence européenne rejoint les attentes locales (CSSF/ILR). Pour les entités concernées par NIS 2 et DORA, la non‑mise en œuvre d’authentification forte, de journalisation et de contrôle des privilèges expose à un risque cumulé. Voir aussi les obligations liées à NIS 2 au Luxembourg et la gestion des accès critiques.
Actions concrètes à entreprendre cette semaine
- Cartographier les accès externes et privilégiés: inventaire des comptes admins, bastions et flux RDP/VPN/SSH; imposer la MFA résistante au phishing (FIDO2/WebAuthn) pour tout accès externe et tout compte à privilèges; révoquer immédiatement les comptes dormants.
- Renforcer les contrôles d’accès et les mots de passe: appliquer le moindre privilège, exigences de complexité et rotation des secrets, durcissement des annuaires (Microsoft Entra/Azure AD, LDAP), filtrage IP et conditions d’accès.
- Tester et prouver: exécuter un test de restauration sur un périmètre critique; vérifier la complétude et la corrélation des journaux; mettre à jour l’analyse de risques et l’AIPD; constituer un dossier de preuves de conformité aux articles 24 et 32 (politiques, tickets, captures). Un audit de cybersécurité axé sur l’accès et l’authentification peut accélérer cette mise en conformité.
En bref
Cette décision illustre la centralité de la MFA et des contrôles d’accès dans la conformité RGPD et confirme que l’inaction entre deux incidents similaires pèse lourdement dans l’évaluation des sanctions.
Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →