CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
CRÉER MON ENTREPRISE
PROTÉGER MA MARQUE
BIEN S’ENTOURER
LIRE LES TOP ARTICLES
MODIFIER MON ENTREPRISE
GÉRER MON ENTREPRISE
GÉRER MES SALARIÉS
SURMONTER LES LITIGES
FERMER MON ENTREPRISE
CONTRAT COMMERCIAL
CONTRAT DE TRAVAIL
DÉLÉGUER MON JURIDIQUE
GUIDES
BLOG
/Am%C3%A9lie%20Gautier.png?width=32&height=32&name=Am%C3%A9lie%20Gautier.png){kind=small}
Par une décision en date du 8 janvier 2018 la CNIL, en formation restreinte, condamne la société Darty au paiement d’une amende de 100 000 euros pour manquement à son obligation de sécurité des données personnelles.
Cette décision fait d’autant plus écho qu’elle intervient en pleine période de mise en conformité des entreprises, quelques mois avant l’entrée en vigueur du désormais célèbre Règlement européen sur la protection des données (RGPD).
SOMMAIRE :
Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo
Le rappel des faits
Début 2017, une société spécialisée dans la sécurité des systèmes d’information alerte la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une violation de données personnelles par la société Darty.
En effet, une faille de sécurité a été détectée sur un formulaire en ligne destiné au service client. L’URL des clients permettait l’accès aux données renseignées dans ce formulaire. Ainsi, étaient accessibles des milliers d’informations personnelles (nom, prénom, adresse, numéro de téléphone etc.) provenant des diverses réclamations clients.
La CNIL précise que le simple fait pour la société Darty de faire appel à un prestataire sous-traitant, ne la déchargeait pas de sa qualité et de ses obligations de responsable de traitement. Darty aurait dû s’assurer du respect des règles relatives au paramétrage du formulaire.
La CNIL précise qu’il revient au responsable de traitement « de veiller au respect de ces mesures », à défaut celui-ci se rend responsable de violation de sécurité.
Il en aurait été autrement, comme le précise le RGPD, si le sous-traitant avait utilisé ces données à des fins personnelles, faisant alors de lui responsable de traitement ou co-responsable de traitement.
Darty : responsable du manquement à son obligation de sécurité des données personnelles
L’article 34 de la loi Informatique et Libertés énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
La société Darty a contesté cette décision arguant qu’elle avait recours à un sous-traitant pour la gestion des demandes de service après-vente.
Or, les juges avaient déjà considéré lors d’une précédente affaire que « des opérations de traitement de données confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte » (CE 11 mars 2015, Sté Total raffinage marketing et société X, n°368748)
Darty a donc manqué à son obligation de sécurité envers ses clients.
Deux manquements lui étaient principalement reprochés :
- Le manque de vérification préalable de sécurité de l’outil. Darty aurait notamment dû vérifier que le formulaire ne présentait pas de risque pour les données personnelles des clients et « désactiver les fonctionnalités ou modules de l’outil qui ne seraient utilisés ou pas nécessaires »
En effet selon le RGPD qui entrera en vigueur en mai prochain, les responsables de traitement ont une obligation consistant à ne mettre en œuvre que les traitements strictement nécessaires aux finalités poursuivies et de ne collecter que les données utiles.
- D’autre part, Darty aurait dû procéder à un suivi régulier sur les corrections apportées par le prestataire suite à la découverte de la violation. Ce n’est qu’après un second contrôle de la CNIL que la violation des données a effectivement pris fin.
Le RGPD impose notamment des audits réguliers réalisé par les sous-traitants. On parle également d’études d’impact. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.
Pourquoi cette sanction ?
En tant que responsable de traitement, Darty écope d’une amende de 100 000 euros pour avoir méconnu son obligation d’assurer la sécurité des données personnelles traitées.
Néanmoins la CNIL prend en compte un certain nombre de circonstances atténuantes pour le prononcé de sa sanction. En effet, les données personnelles en question se limitaient au nom, prénom, adresse, adresse mail, et numéro de téléphone. Elles n’étaient donc pas qualifiées de données sensibles.
De plus, la société Darty a réagi rapidement permettant la résolution de la violation dans un délai jugé raisonnable.
Enfin, outre sa bonne coopération avec la CNIL, Darty a pris l’initiative de procéder à un audit de sécurité postérieurement à la résolution de la violation.
Notons enfin que cette décision a été rendue publique par la CNIL à l’approche de l’entrée en vigueur du nouveau règlement européen sur la protection des données, afin de sensibiliser au mieux les acteurs concernés.
Rappelons qu’avec l’entrée en vigueur du RGPD en mai prochain, les sanctions seront considérablement plus dissuasives.
Alors que la loi Informatique et Liberté du 6 janvier 1978 limitait le seuil des sanctions prononcées par la CNIL à 150 000 euros, le RGPD prévoit jusqu’à 10 millions d’euros (ou 2% du chiffre d’affaires) pour des manquements en matière de Privacy by Design et jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires) pour manquement aux droits de la personnes (droit à l’oubli, droit de suppression etc.)
