Sportadmin, une application destinée aux clubs de sport, éditée par une filiale de la société Lime Technologies, a récemment subi l’un des plus grands incidents de cybersécurité de Suède.
Les données à caractère personnel (noms, coordonnées et informations d’adhésion) d’environ 2 millions de personnes ont ainsi fuité. Découverte le 16 janvier 2025, cette faille a touché plus d’un million de membres de 1700 associations sportives. Mêmes si les fonctionnalités de paiement de l’application n’ont pas été affectées, les données personnelles compromises pourraient désormais circuler sur le dark web, ce qui suscite d’importantes inquiétudes en matière de confidentialité et de fraude.
Il est recommandé aux victimes de vérifier si leurs données ont été compromises soit en contactant leur association sportive, soit en utilisant des services tiers dédiés. Il est crucial de rester vigilant face aux tentatives d’hameçonnage et d’escroqueries, car les données divulguées peuvent être exploitées à des fins frauduleuses.
En vertu du RGPD, les victimes d’une violation de données ont le droit de demander réparation pour les dommages matériels ou moraux subis. Le droit suédois leur permet d’engager des poursuites à cette fin, et même, dans certains cas, d’introduire une action collective. Les personnes concernées disposent d’un délai de six ans pour porter plainte. Il est recommandé aux victimes de réunir des preuves, par exemples les notifications de violation reçues ou les justificatifs des dommages subis. Plusieurs mesures de protection peuvent être prises pour réduire les risques (gel des comptes, utilisation d’outils de surveillance etc.). Si une victime est mineure, ses parents ont la possibilité, par le biais du « droit à l’effacement« , de demander la suppression des données compromises.
Notre membre Lexing pour la Suède, Katarina Bohm Hallkvist, fait un point détaillé de la situation.