RGPD : la CNIL sanctionne Darty sur la protection des données

par
5
Consulter un avocat spécialisé en RGPD

Sommaire

Par une décision en date du 8 janvier 2018 la CNIL, en formation restreinte, condamne la société Darty au paiement d’une amende de 100 000 euros pour manquement à son obligation de sécurité des données personnelles.

Cette décision fait d’autant plus écho qu’elle intervient en pleine période de mise en conformité des entreprises, quelques mois avant l’entrée en vigueur du désormais célèbre Règlement européen sur la protection des données (RGPD).

 

Le RGPD pour les PME, les TPE et les startups

 

: on vous explique, en vidéo

 

Le rappel des faits

 

Début 2017, une société spécialisée dans la sécurité des systèmes d’information alerte la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une violation de données personnelles par la société Darty.

En effet, une faille de sécurité a été détectée sur un formulaire en ligne destiné au service client. L’URL des clients permettait l’accès aux données renseignées dans ce formulaire. Ainsi, étaient accessibles des milliers d’informations personnelles (nom, prénom, adresse, numéro de téléphone etc.) provenant des diverses réclamations clients.

La CNIL précise que le simple fait pour la société Darty de faire appel à un prestataire sous-traitant, ne la déchargeait pas de sa qualité et de ses obligations de responsable de traitement. Darty aurait dû s’assurer du respect des règles relatives au paramétrage du formulaire.

La CNIL précise qu’il revient au responsable de traitement « de veiller au respect de ces mesures », à défaut celui-ci se rend responsable de violation de sécurité.

Il en aurait été autrement, comme le précise le RGPD, si le sous-traitant avait utilisé ces données à des fins personnelles, faisant alors de lui responsable de traitement ou co-responsable de traitement.

 

Darty : responsable du manquement à son obligation de sécurité des données personnelles

 

L’article 34 de la loi Informatique et Libertés énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Darty a contesté cette décision arguant qu’elle avait recours à un sous-traitant pour la gestion des demandes de service après-vente.

Or, les juges avaient déjà considéré lors d’une précédente affaire que « des opérations de traitement de données confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte » (CE 11 mars 2015, Sté Total raffinage marketing et société X, n°368748)

Darty a donc manqué à son obligation de sécurité envers ses clients.

Deux manquements lui étaient principalement reprochés :

  • Le manque de vérification préalable de sécurité de l’outil. Darty aurait notamment dû vérifier que le formulaire ne présentait pas de risque pour les données personnelles des clients et « désactiver les fonctionnalités ou modules de l’outil qui ne seraient utilisés ou pas nécessaires »

En effet selon le RGPD qui entrera en vigueur en mai prochain, les responsables de traitement ont une obligation consistant à ne mettre en œuvre que les traitements strictement nécessaires aux finalités poursuivies et de ne collecter que les données utiles.

  • D’autre part, Darty aurait dû procéder à un suivi régulier sur les corrections apportées par le prestataire suite à la découverte de la violation. Ce n’est qu’après un second contrôle de la CNIL que la violation des données a effectivement pris fin.

Le RGPD impose notamment des audits réguliers réalisé par les sous-traitants. On parle également d’études d’impact. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.

 

Pourquoi cette sanction ?

 

En tant que responsable de traitement, Darty écope d’une amende de 100 000 euros pour avoir méconnu son obligation d’assurer la sécurité des données personnelles traitées.

Néanmoins la CNIL prend en compte un certain nombre de circonstances atténuantes pour le prononcé de sa sanction. En effet, les données personnelles en question se limitaient au nom, prénom, adresse, adresse mail, et numéro de téléphone. Elles n’étaient donc pas qualifiées de données sensibles.

De plus, la société Darty a réagi rapidement permettant la résolution de la violation dans un délai jugé raisonnable.

Enfin, outre sa bonne coopération avec la CNIL, Darty a pris l’initiative de procéder à un audit de sécurité postérieurement à la résolution de la violation.

Notons enfin que cette décision a été rendue publique par la CNIL à l’approche de l’entrée en vigueur du nouveau règlement européen sur la protection des données, afin de sensibiliser au mieux les acteurs concernés.

Rappelons qu’avec l’entrée en vigueur du RGPD en mai prochain, les sanctions seront considérablement plus dissuasives.

Alors que la loi Informatique et Liberté du 6 janvier 1978 limitait le seuil des sanctions prononcées par la CNIL à 150 000 euros, le RGPD prévoit jusqu’à 10 millions d’euros (ou 2% du chiffre d’affaires) pour des manquements en matière de Privacy by Design et jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires) pour manquement aux droits de la personnes (droit à l’oubli, droit de suppression etc.)

 

Inscrivez-vous à notre newsletter dédiée au RGPD : vous recevrez en temps réel les contenus pratiques (guides, invitation à des webinars et ateliers, etc.) que nous mettons à disposition des entrepreneurs et des PME/TPE pour les aider à se préparer sereinement. 

Amélie Gautier

Écrit par

Amélie Gautier

Diplômée d'un Master en droit des affaires et passionnée par le monde de l'entreprise, Amélie s'efforce de rendre accessible les informations juridiques nécessaires aux entrepreneurs tout au long de leurs projets.

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

Quelles sont les sanctions en cas de non-respect du RGPD ?

La protection des données est l’une des questions les plus importantes de notre époque ultra ...

Amélie Gautier

Amélie Gautier

RGPD : évaluez en 20 questions la conformité de votre entreprise

Le 25 mai prochain, le nouveau Règlement Général sur la Protection des Données (RGPD) entrera en ...

Maxime

Maxime

L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Vous êtes éditeur de logiciel SaaS et intervenez en tant que prestataire pour le compte de ...

Me Benjamin Znaty

Me Benjamin Znaty

Règlement général sur la protection des données (RGPD) : quel impact sur les conditions générales de vente (CGV) ?

Le Règlement général sur la protection des données (RGPD), applicable depuis le 25 mai 2018, vise à ...

Me Mathilde Lefroy

Me Mathilde Lefroy

La clause de confidentialité dans le contrat de travail

Pour éviter la divulgation d’un secret professionnel par un employé, le droit français a créé un ...

Maxime

Maxime

Accord de confidentialité : pourquoi et comment le rédiger ?

Vous envisagez de transmettre des informations sensibles à un partenaire commercial potentiel ? Au ...

Philippe

Philippe

Les limites de la protection des données personnelles du salarié

Dans le cadre d’une entreprise, de nombreuses informations au sujet du salarié sont conservées pour ...

Maxime

Maxime

Qu’est-ce qu’une charte/politique de confidentialité ?

En raison du fort développement des services en ligne, les données personnelles des utilisateurs ...

Me Julien Smadja

Me Julien Smadja

RGPD : qui est concerné ?

L’Union européenne a adopté le 14 avril 2016 le règlement général sur la protection des données ...

Maxime

Maxime

Commentaires

Laisser un commentaire

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier