BLOG AIDE
S'inscrire ou Se connecter

RGPD et protection des données : Darty sanctionné par la CNIL

Actualités juridiques
Captain Contrat
LE
4min

Par une décision en date du 8 janvier 2018 la CNIL, en formation restreinte, condamne la société Darty au paiement d’une amende de 100 000 euros pour manquement à son obligation de sécurité des données personnelles.

Cette décision fait d’autant plus écho qu’elle intervient en pleine période de mise en conformité des entreprises, quelques mois avant l’entrée en vigueur du désormais célèbre Règlement européen sur la protection des données (RGPD).

Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo

Le rappel des faits

Début 2017, une société spécialisée dans la sécurité des systèmes d’information alerte la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une violation de données personnelles par la société Darty.

En effet, une faille de sécurité a été détectée sur un formulaire en ligne destiné au service client. L’URL des clients permettait l’accès aux données renseignées dans ce formulaire. Ainsi, étaient accessibles des milliers d’informations personnelles (nom, prénom, adresse, numéro de téléphone etc.) provenant des diverses réclamations clients.

La CNIL précise que le simple fait pour la société Darty de faire appel à un prestataire sous-traitant, ne la déchargeait pas de sa qualité et de ses obligations de responsable de traitement. Darty aurait dû s’assurer du respect des règles relatives au paramétrage du formulaire.

La CNIL précise qu’il revient au responsable de traitement « de veiller au respect de ces mesures », à défaut celui-ci se rend responsable de violation de sécurité.

Il en aurait été autrement, comme le précise le RGPD, si le sous-traitant avait utilisé ces données à des fins personnelles, faisant alors de lui responsable de traitement ou co-responsable de traitement.

Protection des données : sanction de la CNIL contrat Darty

Darty : responsable du manquement à son obligation de sécurité des données personnelles

L’article 34 de la loi Informatique et Libertés énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Darty a contesté cette décision arguant qu’elle avait recours à un sous-traitant pour la gestion des demandes de service après-vente.

Or, les juges avaient déjà considéré lors d’une précédente affaire que « des opérations de traitement de données confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte » (CE 11 mars 2015, Sté Total raffinage marketing et société X, n°368748)

Darty a donc manqué à son obligation de sécurité envers ses clients.

Deux manquements lui étaient principalement reprochés :

  • Le manque de vérification préalable de sécurité de l’outil. Darty aurait notamment dû vérifier que le formulaire ne présentait pas de risque pour les données personnelles des clients et « désactiver les fonctionnalités ou modules de l’outil qui ne seraient utilisés ou pas nécessaires »

En effet selon le RGPD qui entrera en vigueur en mai prochain, les responsables de traitement ont une obligation consistant à ne mettre en œuvre que les traitements strictement nécessaires aux finalités poursuivies et de ne collecter que les données utiles.

  • D’autre part, Darty aurait dû procéder à un suivi régulier sur les corrections apportées par le prestataire suite à la découverte de la violation. Ce n’est qu’après un second contrôle de la CNIL que la violation des données a effectivement pris fin.

Le RGPD impose notamment des audits réguliers réalisé par les sous-traitants. On parle également d’études d’impact. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements

Pourquoi cette sanction ?

En tant que responsable de traitement, Darty écope d’une amende de 100 000 euros pour avoir méconnu son obligation d’assurer la sécurité des données personnelles traitées.

Néanmoins la CNIL prend en compte un certain nombre de circonstances atténuantes pour le prononcé de sa sanction. En effet, les données personnelles en question se limitaient au nom, prénom, adresse, adresse mail, et numéro de téléphone. Elles n’étaient donc pas qualifiées de données sensibles.

De plus, la société Darty a réagi rapidement permettant la résolution de la violation dans un délai jugé raisonnable.

Enfin, outre sa bonne coopération avec la CNIL, Darty a pris l’initiative de procéder à un audit de sécurité postérieurement à la résolution de la violation.

Notons enfin que cette décision a été rendue publique par la CNIL à l’approche de l’entrée en vigueur du nouveau règlement européen sur la protection des données, afin de sensibiliser au mieux les acteurs concernés.

Rappelons qu’avec l’entrée en vigueur du RGPD en mai prochain, les sanctions seront considérablement plus dissuasives.

Alors que la loi Informatique et Liberté du 6 janvier 1978 limitait le seuil des sanctions prononcées par la CNIL à 150 000 euros, le RGPD prévoit jusqu’à 10 millions d’euros (ou 2% du chiffre d’affaires) pour des manquements en matière de Privacy by Design et jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires) pour manquement aux droits de la personnes (droit à l’oubli, droit de suppression etc.)

 

Inscrivez-vous à notre newsletter dédiée au RGPD : vous recevrez en temps réel les contenus pratiques (guides, invitation à des webinars et ateliers, etc.) que nous mettons à disposition des entrepreneurs et des PME/TPE pour les aider à se préparer sereinement.

 
Donnez votre avis
    ARTICLES SIMILAIRES
    facebook_rgpd

    protection des données personnelles

    RGPD : l'administrateur d'une "Page Fan" Facebook est-il responsable de traitement ?

    RGPD_cnil

    protection des données personnelles

    RGPD : le nombre de plaintes à la Cnil a-t-il explosé ?

    formation_dpo_rgpd

    protection des données personnelles

    Formation de DPO : vraiment utile pour être conforme au RGPD ?

    infographie_rgpd

    protection des données personnelles

    Infographie : les étapes pour être conforme avec le RGPD

    Amélie Gautier
    A propos de Amélie Gautier

    Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

    Voir tous les auteurs du blog Actualités Juridiques
    COMMENTAIRES