(EN/FR/ES/DE) Violation de données e-commerce et marketing FAQ

English Français Español Deutsch

Perte de confidentialité de données de e-commerce et marketing : FAQ

Le 14 juillet 2020, un chercheur nous a contactés via notre programme Bounty pour nous informer d’une violation de données sur notre base de données d’e-commerce et de marketing. Nous avons immédiatement corrigé cette violation de données et avons lancé des enquêtes internes. Nous avons découvert que les données exposées étaient accessibles sans autorisation. Vos fonds sont en sécurité.

Le 20 décembre, nous avons été informés de l’exposition d’une base de données clients de Ledger. L’enquête reste en cours. À ce stade, nous pensons qu’il s’agit du contenu de notre base e-commerce qui avait précédemment subi un accès non autorisé.

Le 23 décembre, Shopify, notre fournisseur de services de commerce en ligne, nous a notifié un incident impliquant des données de ses marchands au cours duquel un ou plusieurs membre(s) malhonnête(s) de leur service client ont obtenu des données transactionnelles liées aux clients, y compris certaines de Ledger.

Vous trouverez ci-dessous les réponses aux questions fréquemment posées. Pour tous les détails concernant la violation de données, nous vous invitons à vous’ référer à cet article de blog .Pour plus d’informations sur l'incident Shopify, référez-vous à cet article.

Mes données personnelles (nom, adresse, numéro de téléphone) sont-elles compromises ?

Après avoir découvert la violation en juillet, nous avons envoyé un email à l’ensemble des 9 500 clients pour lesquels les informations dont nous disposions indiquaient que leur données personnelles avaient été divulguées. Si vous n’aviez pas reçu cet email à ce moment, cela signifie que nous n’avions aucune preuve que vos données personnelles avaient été divulguées, à l’exception de votre adresse email.

Après avoir été informés du transfert de données du 20 décembre, il est apparu clairement qu’un sous-ensemble plus important que les 9 500 clients initiaux avait vu ses données personnelles exposées. Nous avons envoyé un e-mail à tous les clients de ce sous-ensemble (~272 000 personnes). Si vous faisiez partie de ce sous-ensemble, vous avez reçu le 21 décembre 2020 un email spécifique vous en informant.

Le 13 Janvier 2021, nous avons envoyé une communication aux environ 292 000 clients impactés par la violation de données Shopify. Si vos données ont été compromises au cours de la violation de données Shopify vous en avez été notifiés par email. Le titre de l’email est “SECURITY NOTICE: Ledger included in Shopify database breach”. Ce mail a été envoyé autour de 16 h CET le 13 janvier 2021.

Que s’est-il passé lors de la perte de confidentialité de données du mois de juillet 2020 ?

Une personne a mené une attaque pour obtenir l’accès à une partie de notre base de données e-commerce et marketing au travers d’une clé API tierce qui était mal configurée sur notre site Web, ce qui a permis un accès non autorisé aux informations de contact de clients et à leurs commandes.

Qui est cette solution tierce ? Pourquoi traitaient-ils des données client ?

Les équipes e-commerce et marketing de Ledger utilisent une solution tierce (Iterable) pour analyser les transactions et envoyer des emails marketing aux clients qui ont acheté des produits sur Ledger.com, ou qui se sont abonnés à nos newsletters.

Depuis quand ce problème existe-t-il ?

La mauvaise configuration de la clé API tierce en question était présente depuis le 9 août 2018. Sur la base des preuves et des logs dont nous disposons, nous pensons qu’elle a été découverte et exploitée d’avril 2020 jusqu’au 28 juin 2020. 

Que s’est-il passé avec Shopify ?

Le 23 décembre 2020, nous avons reçu une notification de notre fournisseur de services e-commerce, Shopify, au sujet d’un incident visant les données de ses marchands.  Au cours de cet incident, un ou des agent(s) malhonnête(s) de l’assistance clientèle de Shopify ont obtenu des fichiers des transactions de plusieurs marchands, dont ceux de Ledger. Le ou les agents ont exporté illégalement les données de transactions aux mois d’avril et de juin 2020. D’après Shopify, cet incident est en lien avec celui communiqué en septembre 2020 qui a impacté plus de 200 marchands. Shopify n’a découvert que le 21 décembre 2020 que Ledger était également concerné par cette attaque. Shopify nous a communiqué qu’ils avaient engagé des experts de l’analyse des attaques informatiques, ainsi que des juristes pour continuer d’enquêter sur cette affaire. Ils nous ont aussi informés avoir effectué un signalement auprès des autorités judiciaires, à la fois au Canada et aux États-Unis.

En collaboration avec le prestataire de services en cybersécurité (Orange Cyberdefense), nous avons pu déterminer que l’incident affecte environ 292 000 clients. Si la base de données est à 93 % similaire à celle divulguée lors de l’attaque précédente, nous avons constaté qu’environ 20 000 clients supplémentaires étaient impactés par cette violation, incluant leurs emails, noms, adresses postales, numéros de téléphone et produit(s) commandé(s).

Si vous avez acheté un produit Ledger après la fin du mois de juin 2020, ou si vous l’avez acheté ailleurs que sur Ledger.com, vos données n’ont pas été divulguées dans ces incidents.

Quels types de données ont été compromises à partir de la base de données clients de Ledger ?

Dans les deux cas, c'est la base de données de e-commerce et de marketing qui a été divulguée. Elle contient les adresses email, noms et prénoms, numéros de téléphone et adresses postales, ainsi que le type de produit acheté.

Elle n’inclut aucune information concernant les cartes bancaires.

Nous savons maintenant qu’environ 1 million d’adresses email ont été divulguées ainsi qu’environ 292 000 ensembles d’informations personnelles plus détaillées comprenant le prénom, le nom, le numéro de téléphone, l’adresse postale et les produits achetés.

Pourquoi avez-vous envoyé une communication mentionnant 9 500 ensembles de données personnelles compromises, et non 272 000 ?

La détermination du nombre d’ensembles de données personnelles (nom, adresse postale, numéro de téléphone) qui a été effectuée en juillet 2020 était basée sur l’analyse a posteriori réalisée par notre cabinet de conseil en cybersécurité tiers, qui n’a obtenu des preuves que pour 9 500 personnes. Nous avons agi rapidement et avec les connaissances dont nous disposions à ce moment-là. Nous pouvons désormais confirmer, à partir de la base de données publiée, que des informations personnelles détaillées (nom, adresse postale, numéro de téléphone) d’environ 272 000 utilisateurs ont été obtenues.

Ces failles ont-elles été corrigées ?

Concernant la violation de données découverte en juillet : dès que nous avons découvert la violation de données en juillet, cette faille a été corrigée le même jour et la clé API a été désactivée.

Concernant la faille Shopify : dès qu’ils ont été au courant de cet incident, Shopify a suspendu immédiatement les accès réseaux et confisqué l’ordinateur de la personne mise en cause, et engagé des experts en analyse des attaques informatiques, ainsi que des juristes pour poursuivre leur enquête.

Nous faisons tout notre possible pour rendre Ledger encore plus solide à l’avenir. Nous avons engagé un nouveau responsable de la sécurité des systèmes informatiques (CISO). Nous continuons à renforcer nos systèmes déjà solides. Nous avons effectué des tests d’intrusion et des analyses de cyberattaques avec des sociétés de cybersécurité externes, afin de tester nos systèmes et de trouver d’autres vulnérabilités sur nos systèmes de e-commerce.

Nous travaillons en permanence avec les forces de l’ordre pour poursuivre les pirates et arrêter les personnes responsables et/ou impliquées dans les campagnes d’hameçonnage. Nous travaillons avec d’autres autorités de protection des données dans le monde entier.

Les fonds des clients sont-ils touchés ?

Non. Les informations de paiement, les informations d’identification (mots de passe) ou les cryptomonnaies n’ont pas été affectés. Cette violation de données n’a aucun lien ni impact sur nos wallets physiques et l’application Ledger Live. Vos crypto-actifs sont en sécurité et ne sont pas en danger.

Notre modèle de sécurité empêche les attaquants d’accéder aux informations sensibles liées à nos appareils physiques, telles que les phrases secrètes de récupération et les clés privées. Les utilisateurs ont un contrôle total et sont les seuls à pouvoir accéder à ces informations.

Qu’en est-il des « informations d’identification non publiques » comme les numéros de compte bancaire et les informations de sécurité sociale ?

Comme indiqué dans notre Politique de confidentialité, nous ne demandons ni ne conservons jamais ces informations.

Les données clients sont-elles gérées en interne ou par un fournisseur tiers ?

Conformément à notre Politique de confidentialité, en tant que responsables du traitement, nous pouvons transmettre certaines de vos données à des tiers tels que les serveurs des prestataires de services de paiement (PSP), logistiques, et d’autres prestataires de services, dans les cadres contractuels et juridiques applicables. 

Y a-t-il eu des demandes de rançon ?

Nous avons été informés de certaines demandes de rançon. Nous pensons qu’il s’agit d’une autre tentative d’escroquerie mondiale, car le même message est envoyé par email et SMS dans différentes langues. Nous surveillons en permanence la campagne sur une page dédiée.

Quelles sont les mesures correctives prises par Ledger pour résoudre ce problème ?

  • Nous avons immédiatement corrigé la faille.
  • Nous avons enquêté immédiatement sur la violation de données, en interne et avec des experts judiciaires externes (Orange Cyberdefense) pour découvrir tout potentiel accès non autorisé aux données de nos clients par un tiers.
  • Nous avons informé l’autorité française en charge de la protection des données personnelles de la violation de données et les avons tenu au courant de la situation.
  • Nous avons informé nos clients.
  • Nous avons déposé une plainte formelle auprès du Procureur de la République Française et la mettons à jour avec les nouvelles informations reçues.
  • Nous avons effectué des tests d’intrusion en interne et nous avons avancé les tests d’intrusion externes initialement prévus pour septembre 2020.
  • Nous menons des audits internes périodiques sur nos politiques de conservation des données, pour assurer la conformité continue avec les lois applicables.
  • Nous étendons au e-commerce la portée de notre programme de sécurité et d’organisation qui se concentrait à l’origine sur nos produits (physiques et Vault). Nous prenons des mesures pour répondre aux exigences énumérées dans la norme ISO 27001.

Les informations obtenues par les pirates peuvent-elles contourner les mesures d’identification à deux facteurs (2FA) ?

Non. Notre site Web de e-commerce ne conserve aucune information de connexion/mot de passe puisque l’identification 2FA n’est pas pertinente pour notre système de sécurité. 

Des clients signalent-ils des instances d’extorsions physiques ?

Pas à notre connaissance. Ni récemment, ni dans le passé, mais certaines de ces escroqueries impliquent une menace de violence physique. Si vous recevez une telle menace, veuillez contacter immédiatement les autorités locales. Vous pouvez également nous signaler la menace sur cette page afin qu’elle soit incluse dans notre enquête. Sachez que les produits Ledger ont été conçus en tenant compte des menaces d’attaques physiques. Nous vous invitons à consulter les bonnes pratiques en matière de mesures de sécurité avancées pour savoir comment vous protéger et faire preuve de vigilance. Nous surveillons en permanence les campagnes d’hameçonnage sur une page dédiée.

Nous recommandons à nos clients préoccupés par cette éventualité de consulter nos bonnes pratiques en matière de mesures de sécurité avancée et de garder à l’esprit qu’en cas d’urgence, en tapant 3 fois de suite un mauvais code PIN, votre appareil sera réinitialisé.

Pourquoi Ledger a-t-il attendu plus d’une semaine pour communiquer publiquement sur cette violation de données relatives au marketing et au e-commerce ?

Nous voulions avoir toutes les données nécessaires et nous devions d’abord nous conformer aux obligations légales et règlementaires qui nous incombent.

Nous avons immédiatement résolu le problème et lancé une enquête interne pour évaluer l’étendue de la violation. Nous avons également enquêté avec Orange Cyberdefense (OCD) pour évaluer la gravité de la violation et avons reçu le rapport initial d’OCD le 24 juillet.

Nous avons notifié cette violation de données à l’autorité française en charge de la protection des données personnelles, la CNIL, dans le respect des lois applicables.

Ledger respecte-t-il le Règlement Général sur la Protection des Données (RGPD) ?

Le but de Ledger est d’aller au-delà de la simple conformité avec le RGPD et les autres réglementations sur la protection des données. C’est pourquoi, dans les trois jours qui ont suivi la découverte de la violation des données, Ledger a signalé les informations à la CNIL, et a fourni des mises à jour dès qu’elles étaient disponibles. Ledger travaille également et communique ouvertement avec d’autres autorités de protection des données. 

L’équipe de Ledger chargée de la protection de la vie privée est également mobilisée pour répondre et gérer toute demande liée à la protection de la vie privée dont nos clients pourraient nous faire part. Si vous avez une demande spécifique concernant vos données (accès, effacement…), veuillez nous adresser votre requête à privacy@ledger.fr.

Notre objectif est de supprimer complètement vos données à caractère personnel telles que votre nom, votre adresse et votre numéro de téléphone le plus tôt possible. Pour aller au-delà de ce qui est requis par le RGPD, nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Les données qui doivent être conservées le seront dans un environnement séparé. Cet objectif s’applique également à nos fournisseurs. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.

Que puis-je faire pour protéger mes données à l’avenir ?

Méfiez-vous des tentatives d’hameçonnage qui usurperaient l’identité de Ledger pour demander votre phrase de récupération. Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération, pas même dans Ledger Live. Ledger ne vous contactera jamais par SMS ou téléphone.

Si vous souhaitez améliorer la sécurité de votre phrase de récupération, nous vous recommandons de consulter nos bonnes pratiques en matière de mesures de sécurité avancée et de garder à l’esprit qu’en cas d’urgence, le fait de taper 3 fois le mauvais code PIN réinitialisera votre appareil.

Quelles mesures de sécurité étaient en place pour protéger nos données à caractère personnel ?

Afin d’assurer l’intégrité et la confidentialité de vos données à caractère personnel, nous mettons en œuvre des procédures physiques, électroniques et organisationnelles appropriées pour sauvegarder et sécuriser les données à caractère personnel dans tous nos services.
Plus de détails sur les mesures de sécurité mises en œuvre sont disponibles dans notre Politique de confidentialité.
Nous mettons notamment en œuvre les mesures de sécurité suivantes :

  • Sécurité des données de paiement : si vous nous fournissez des informations de carte de crédit, ces informations sont cryptées à l’aide du protocole « Internet Trade Protocol (TLS) » sécurisé et envoyées directement à notre prestataire de services de paiement (PSP). Ces informations ne sont jamais stockées sur notre serveur.
  • Programme de sensibilisation et de formation des collaborateurs.
  • Chiffrement des données transférées et stockées.
  • Centres de données régulièrement audités.
  • Redondance des données pour la résilience en cas de dommage.
  • Authentification basée sur les rôles.
  • Identification à deux facteurs de nos collaborateurs dûment autorisés.
  • Surveillance continue des systèmes.
  • Évaluations de sécurité conformes aux normes du secteur.
  • Audits de sécurité tiers indépendants et tests d’intrusion.
  • Recrutement d’un nouveau Responsable de la Sécurité Informatique (CISO).
  • Mise hors ligne de plus de 200 sites d'hameçonnage depuis la violation de données initiale.

Êtes-vous sûr qu’il n’y a pas d’autre problème similaire sur votre site de commerce électronique ? Utilisez-vous d’autres API ?

Nous avons effectué un audit interne et n’avons trouvé aucune faille similaire. Toutefois, nous continuons d’enquêter régulièrement. Nous effectuons donc des tests d’intrusion externes et encourageons d’autres chercheurs en sécurité informatique à nous contacter via notre programme Bug Bounty.

Comment pouvez-vous être sûr que la violation présumée de données Shopify révélée en mai était un canular ?

Nous avons eu accès à un échantillon de la base de données qui aurait prétendument été divulguée et avons constaté qu’elle ne correspondait pas à notre base de données. 

La violation de données a-t-elle eu un impact sur les commandes Amazon, plus précisément sur les adresses de facturation/livraison ?

Aucune information concernant des commandes sur Amazon (y compris les adresses email, de facturation et d’expédition des commandes) n’a été affectée par la violation de données.

Êtes-vous au courant d’attaques par hameçonnage existantes ciblant vos clients ?

Oui, et nous surveillons en permanence la campagne sur une page dédiée. Les campagnes d’hameçonnage sont très courantes dans le secteur, c’est pourquoi nous avons créé la Ledger Academy pour sensibiliser nos utilisateurs. Nous menons des campagnes régulières pour rappeler à nos utilisateurs les dangers des attaques par hameçonnage, et faire toujours preuve de prudence. Nous avons mis en place une équipe de protection contre la contrefaçon depuis deux ans afin de surveiller et faire disparaître ces contenus abusifs. 

Avez-vous identifié la ou les personne(s) ayant compromis votre base de données ? Avez-vous des indices ?

Non. Nous avons déposé une plainte auprès du Procureur de la République Française sur la base de preuves préliminaires exposées grâce au rapport indépendant d’enquête de cyberattaque d’Orange Cyberdefense, que nous avons continuellement mis à jour. Une enquête est en cours.

Croisez-vous mes données Ledger Live avec d’autres données ? (e-commerce, matériel)

Non. 

Partagez-vous des données avec les gouvernements ?

Ledger ne partage pas les informations sur ses clients, sauf si les lois applicables l’exigent, comme décrit dans notrePolitique de confidentialité.

Pourquoi ne purgez-vous pas votre base de données ?

Pour des raisons juridiques, nous avons l’obligation de stocker certaines informations transactionnelles relatives aux coordonnées de nos clients et aux données de leurs commandes.

Conformément au principe de limitation du stockage énoncé dans les lois applicables, nous nous efforçons de ne pas conserver les données plus que le temps nécessaire pour se conformer à ces objectifs légitimes et légaux, y compris afin de satisfaire à toute exigence légale, comptable, fiscale ou autre en matière de rapports de conformité.

Nous pouvons archiver certaines de vos données à caractère personnel, en y limitant l’accès, pour une période supplémentaire lorsque cela est strictement nécessaire pour nous conformer à nos obligations légales et/ou réglementaires d’archivage et pour les délais de prescription applicables. À la fin de cette période supplémentaire, vos données à caractère personnel restantes seront définitivement effacées de nos systèmes, ou anonymisées.

Si vous avez acheté un produit ou un service chez nous, nous pouvons conserver certaines données transactionnelles liées à vos coordonnées afin de nous conformer à nos obligations légales, fiscales ou comptables, et ce pendant une période maximale de 10 ans fixée par les lois françaises applicables, ainsi que pour nous permettre de préserver et/ou de faire valoir nos droits (par exemple, dans l’exercice de certains de nos droits devant les tribunaux) pendant les délais de prescription français applicables.

Nous devons également conserver certaines de vos données à caractère personnel contenues dans cette base de données, afin de pouvoir répondre à vos questions, de traiter des réclamations potentielles et de conserver des preuves nécessaires à l’enquête pénale.

Suite à la violation de données Shopify, nous avons changé en profondeur la manière dont nous gérons les données pour aller encore plus loin que ce que demande le Règlement Général sur la Protection des Données (RGPD) :

  1. Notre objectif est de supprimer complètement vos données à caractère personnel telles que votre nom, votre adresse et votre numéro de téléphone le plus tôt possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Cet objectif s’applique également à nos prestataires tiers. Les données qui doivent être conservées le seront dans un environnement séparé. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.
  2. Nous allons réduire au maximum les endroits où vos informations personnelles apparaissent. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.
  3. Nous mettons en place un modèle de communication dans lequel les messages importants de sécurité et à visée technique seront diffusés via Ledger Live. Lorsque nous nous adresserons à vous, les emails et réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.
  4. Nous allons procéder à une réévaluation détaillée de tous nos fournisseurs et partenaires afin de déterminer s’ils continuent à respecter les normes les plus strictes.

Les 24 mots sont-ils stockés dans la base de données ?

Non, nos clients ont le contrôle total et unique de leur phrase de récupération. Ledger ne vous demandera jamais votre phrase de récupération.

Si vous n’êtes pas en mesure de protéger nos données de e-commerce, comment pourriez-vous protéger et sécuriser nos fonds ?

C’est la question la plus précise et la plus légitime que nos clients peuvent nous poser. En effet, depuis la création de Ledger, nous avons mis l’accent sur la sécurité de nos produits, car nous savions que ce secteur avait besoin de solutions de sécurité solides, entièrement surveillées et vérifiables pour prendre son essor. Nous nous sommes engagés à offrir à nos clients des produits de sécurité que nous développons sur la base de connaissances extrêmement pointues.

Cette violation de données provient d’une clé API tierce mal configurée et hébergée sur notre page Web de e-commerce. Elle n’est en rien liée à nos produits de sécurité, qui disposent de leurs propres infrastructures. Cela ne veut pas dire que cette situation n’est pas grave. Cela signifie qu’elle ne concerne pas le niveau de sécurité de nos produits.

Nous regrettons profondément cet incident. Nous prenons la protection de la vie privée très au sérieux. Nous avons découvert ce problème grâce à notre propre programme Bug Bounty, et l’avons corrigé immédiatement. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les inconvénients que cette affaire peut causer à nos clients.

Cette situation est très stressante, qu’est-ce qui est censé me rassurer ?

Nous comprenons vos préoccupations et nous regrettons profondément cet incident. Les violations de données et les attaques par hameçonnage sont un problème qui touche l’ensemble du secteur. Nous continuons chaque jour de travailler sur ce problème et nous prenons très au sérieux la protection de la vie privée et la sécurité des données. Dès que nous avons découvert ce problème, grâce à notre propre programme Bug Bounty, nous l’avons immédiatement corrigé et avons mis en œuvre les mesures requises pour vous en informer. Mais indépendamment de tout ce que nous avons fait pour éviter et corriger cette situation, nous nous excusons sincèrement pour les désagréments que ce problème peut vous causer. Toutefois, cette violation de données n’a aucun lien avec ni aucun impact sur nos wallets physiques, ni sur la sécurité de Ledger Live.

Crypto Casey résume très bien la situation ainsi que la façon dont vous devez vous protéger dans cette vidéo et ce podcast. Prenez toutes les mesures nécessaires pour assurer votre sécurité, et celle de vos crypto-actifs. 

Vos crypto-actifs n’ont jamais été menacés. Nous sommes reconnaissants de la confiance que vous accordez à nos produits. À l’avenir, vous pouvez attendre de nos services le plus haut niveau de professionnalisme, de transparence et de réactivité.

Connaissez-vous, fournissez-vous ou recommandez-vous un service de surveillance pour le « vol d’identité » ?

Non, nous ne recommandons pas d’utiliser ce type de services. Nous recommandons à la place à nos clients d’appliquer des mesures de précaution et de faire preuve de prudence face aux tentatives d’hameçonnage qui pourraient prétendre venir de Ledger, en vue d'obtenir de votre part votre phrase de récupération. Ledger ne vous demandera jamais les 24 mots de votre phrase de récupération, pas même dans Ledger Live. Ledger ne vous contactera jamais par SMS ou téléphone.

Si vous souhaitez améliorer la sécurité de votre phrase de récupération, nous vous recommandons de consulter nos bonnes pratiques en matière de mesures de sécurité avancée et de garder à l’esprit qu’en cas d’urgence, le fait de taper 3 fois le mauvais code PIN réinitialisera votre appareil.

Que faites-vous pour éviter ces violations de données à l’avenir ?

Ces violation de données sont pour nous une véritable remise en cause. Être digne de votre confiance est beaucoup plus important pour nous que vos données. C’est pourquoi nous changeons la manière dont nous gérons ces données, pour aller encore plus loin que ce que recommande le Règlement Général sur la Protection des Données et être les meilleurs sur ce sujet : 

  • Notre objectif est de supprimer complètement vos données à caractère personnel telles que votre nom, votre adresse et votre numéro de téléphone le plus tôt possible. Nous nous fixons pour but de garder ces données aussi peu de temps que nécessaire pour remplir nos obligations envers nos clients (par exemple le bon déroulement de votre commande) et en termes réglementaires (par exemple les obligations comptables et juridiques). Cet objectif s’applique également à nos prestataires tiers. Les données qui doivent être conservées le seront dans un environnement séparé. Par exemple, notre but est que trois mois après l’envoi de votre produit, les informations telles que vos noms, adresse postale et numéro de téléphone soient stockés dans une base séparée.
  • Nous allons réduire au maximum les endroits où vos informations personnelles apparaissent. Par exemple, nous effacerons vos noms, adresse et numéro de téléphone des emails de confirmation de commande que nous vous adresserons, afin que ces informations ne circulent pas via notre prestataire de gestion d’emails e-commerce.
  • Nous mettons en place un modèle de communication dans lequel les messages importants de sécurité et à visée technique seront diffusés via Ledger Live. Lorsque nous nous adresserons à vous, les emails et réseaux sociaux seront utilisés UNIQUEMENT pour les communications promotionnelles et le marketing.
  • Nous allons procéder à une réévaluation détaillée de tous nos fournisseurs et partenaires afin de déterminer s’ils continuent à respecter les normes les plus strictes.

Ces vols et ces attaques ne peuvent rester impunis. Des enquêtes doivent être menées. Pour que l’industrie de la crypto se développe, il est impératif que le vol de cryptomonnaies soit sévèrement puni. Nous travaillons sur ces affaires avec les autorités compétentes et avec des enquêteurs privés. Nous augmentons nos capacités de défense et riposte :

  • Nous recrutons des spécialistes en enquêtes privées supplémentaires, renforçant ainsi notre expérience et nos différentes approches dans la recherche des auteurs de ces vols de données. Nous continuerons à coopérer avec les forces de l’ordre du monde entier pour trouver, arrêter et poursuivre ces coupables partout où cela est possible.
  • Nous créons une récompense pour l’obtention de nouvelles informations, obtenues légalement, qui permettront d’identifier, d’arrêter et de traduire en justice avec succès les responsables de ces attaques contre Ledger et ses clients. Ledger a abondé unwallet avec 10 BTC(adresse : bc1qshfl9cnyjam64m3c2jpsg23u34z7w0kkwncdsd) comme réserve initiale pour cette récompense. Cette récompense sera versée à l’entière discrétion de Ledger en prenant en compte des facteurs tels que la légalité de l’obtention des informations, la nouveauté des informations, leur importance, leur impact positif sur les progrès de l’enquête et leurs conséquences directes en termes de capacité à poursuivre le ou les individu(s), ainsi que le résultat des poursuites. Plus généralement, cette récompense sera soumise aux règles de notre programme Bounty que vous pouvez consulter ici.
  • Par ailleurs, nous annonçons notre intention de collaborer avec d’autres acteurs du secteur sur cette initiative.  Nous sommes en train de contacter d’autres entreprises et individus du secteur pour un financement continu de ce programme Bounty pour la répression des crimes commis contre la communauté crypto.  PDG d’autres entreprises de l’univers des cryptos, si vous souhaitez nous rejoindre sur ce projet, veuillez vous manifester au plus vite.
Perte de confidentialité de données de e-commerce et marketing : FAQ

Cet article vous a-t-il été utile ?