Vous êtes avocat ? 👋 Pour rejoindre notre réseau, c'est par ici !
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD : la CNIL sanctionne Darty sur la protection des données

RGPD : la CNIL sanctionne Darty sur la protection des données

Consulter un avocat spécialisé en RGPD
Consulter un avocat spécialisé en RGPD

Par une décision en date du 8 janvier 2018 la CNIL, en formation restreinte, condamne la société Darty au paiement d’une amende de 100 000 euros pour manquement à son obligation de sécurité des données personnelles.

Cette décision fait d’autant plus écho qu’elle intervient en pleine période de mise en conformité des entreprises, quelques mois avant l’entrée en vigueur du désormais célèbre Règlement européen sur la protection des données (RGPD).

 

 

Le RGPD pour les PME, les TPE et les startups : on vous explique, en vidéo


Le rappel des faits

 

Début 2017, une société spécialisée dans la sécurité des systèmes d’information alerte la Commission Nationale de l’Informatique et des Libertés (CNIL) d’une violation de données personnelles par la société Darty.

En effet, une faille de sécurité a été détectée sur un formulaire en ligne destiné au service client. L’URL des clients permettait l’accès aux données renseignées dans ce formulaire. Ainsi, étaient accessibles des milliers d’informations personnelles (nom, prénom, adresse, numéro de téléphone etc.) provenant des diverses réclamations clients.

La CNIL précise que le simple fait pour la société Darty de faire appel à un prestataire sous-traitant, ne la déchargeait pas de sa qualité et de ses obligations de responsable de traitement. Darty aurait dû s’assurer du respect des règles relatives au paramétrage du formulaire.

La CNIL précise qu’il revient au responsable de traitement « de veiller au respect de ces mesures », à défaut celui-ci se rend responsable de violation de sécurité.

Il en aurait été autrement, comme le précise le RGPD, si le sous-traitant avait utilisé ces données à des fins personnelles, faisant alors de lui responsable de traitement ou co-responsable de traitement.

Darty : responsable du manquement à son obligation de sécurité des données personnelles

 

L’article 34 de la loi Informatique et Libertés énonce que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La société Darty a contesté cette décision arguant qu’elle avait recours à un sous-traitant pour la gestion des demandes de service après-vente.

Or, les juges avaient déjà considéré lors d’une précédente affaire que « des opérations de traitement de données confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte » (CE 11 mars 2015, Sté Total raffinage marketing et société X, n°368748)

Darty a donc manqué à son obligation de sécurité envers ses clients.

Deux manquements lui étaient principalement reprochés :

  • Le manque de vérification préalable de sécurité de l’outil. Darty aurait notamment dû vérifier que le formulaire ne présentait pas de risque pour les données personnelles des clients et « désactiver les fonctionnalités ou modules de l’outil qui ne seraient utilisés ou pas nécessaires »

En effet selon le RGPD qui entrera en vigueur en mai prochain, les responsables de traitement ont une obligation consistant à ne mettre en œuvre que les traitements strictement nécessaires aux finalités poursuivies et de ne collecter que les données utiles.

  • D’autre part, Darty aurait dû procéder à un suivi régulier sur les corrections apportées par le prestataire suite à la découverte de la violation. Ce n’est qu’après un second contrôle de la CNIL que la violation des données a effectivement pris fin.

Le RGPD impose notamment des audits réguliers réalisé par les sous-traitants. On parle également d’études d’impact. Le responsable de traitement se doit d’apprécier les risques que peuvent présenter de nouveaux traitements et mettre en place les mesures adaptées afin de sécuriser ces traitements.

 

Pourquoi cette sanction ?

 

En tant que responsable de traitement, Darty écope d’une amende de 100 000 euros pour avoir méconnu son obligation d’assurer la sécurité des données personnelles traitées.

Néanmoins la CNIL prend en compte un certain nombre de circonstances atténuantes pour le prononcé de sa sanction. En effet, les données personnelles en question se limitaient au nom, prénom, adresse, adresse mail, et numéro de téléphone. Elles n’étaient donc pas qualifiées de données sensibles.

De plus, la société Darty a réagi rapidement permettant la résolution de la violation dans un délai jugé raisonnable.

Enfin, outre sa bonne coopération avec la CNIL, Darty a pris l’initiative de procéder à un audit de sécurité postérieurement à la résolution de la violation.

Notons enfin que cette décision a été rendue publique par la CNIL à l’approche de l’entrée en vigueur du nouveau règlement européen sur la protection des données, afin de sensibiliser au mieux les acteurs concernés.

Rappelons qu’avec l’entrée en vigueur du RGPD en mai prochain, les sanctions seront considérablement plus dissuasives.

Alors que la loi Informatique et Liberté du 6 janvier 1978 limitait le seuil des sanctions prononcées par la CNIL à 150 000 euros, le RGPD prévoit jusqu’à 10 millions d’euros (ou 2% du chiffre d’affaires) pour des manquements en matière de Privacy by Design et jusqu’à 20 millions d’euros (ou 4% du chiffre d’affaires) pour manquement aux droits de la personnes (droit à l’oubli, droit de suppression etc.)

 

Amélie Gautier
Écrit par Amélie Gautier
Diplômée d'un Master II en droit des affaires de l'Université de Versailles Saint-Quentin-en Yvelines, Amélie est responsable du contenu juridique de Captain Contrat depuis 2017.
Vous avez encore des questions ? 🤔
Image des coach CaptainContrat
Posez-les gratuitement à l’un de nos coachs entrepreneuriaux.
Parler à un coach

Besoin d’aide ?

Tatiana - photo rappel sales (blog)
Nos coachs entrepreneuriaux sont à votre écoute
Besoin de conseils sur votre projet ? De poser toutes vos questions de vive-voix ? Contactez-nous 🙂
Prendre un rendez-vous

Tous les articles similaires

Consultez nos articles pour parfaire vos connaissances

5 min
L'éditeur de logiciel Saas face au RGPD, par Me Znaty

Quel est l'impact du RGPD sur l'éditeur Saas ? Quel est le statut de l'éditeur Saas face au RGPD : responsable de traitement ou sous-traitant ? Me Znaty répond à toutes ces questions.

5 min
La clause de confidentialité dans le contrat de travail

La clause de confidentialité permet de garantir qu'un salarié ne divulguera pas d'informations qui peuvent être vitales pour l’organisation d'une entreprise

5 min
Accord de confidentialité : pourquoi et comment le rédiger ?

L'’accord de confidentialité est un des outils phares de la protection d’information et du secret professionnel. Dans quel cas doit-on le signer ?

4 min
Les limites de la protection des données personnelles du salarié

Quelles sont les limites à la protection des données personnelles du salarié ? Sous quelle conditions l'employeur peut-il collecter ces informations ?

5 min
Violation de données personnelles en entreprise : comment réagir ?

Votre entreprise fait face à une violation de données personnelles ? Une faille ? Comment faire ? Me Benjamin Znaty vous livre les étapes à respecter pour identifier, corriger et notifier ces failles.

5 min
Qu’est-ce qu’une charte/politique de confidentialité ?

Une politique de confidentialité est un document ou un contrat qui expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs. Obligatoire dans le cadre de la conformité RGPD, Me Camille Mirabel Chambaud décrypte le sujet

2 min
Qu’est-ce que la charte des données personnelles d’un site internet ?

Lorsqu’un site internet requiert des informations personnelles de ses utilisateurs, la rédaction d'une charte des données personnelles est vivement conseillée.

3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

5 min
Modèle de contrat SaaS  : un pari risqué avec le RGPD ? (2022)

Avant de commercialiser votre logiciel Saas, un contrat est indispensable pour encadrer les relations avec vos clients. Avec la nouvelle règlementation pour la gestion des données personnelles entrée en vigueur en mai 2018, l'utilisation de modèles de contrat Saas est fortement déconseillée.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier