Par David GRANEL et Stéphane ASTIER
Dans une délibération de sa formation restreinte n°2015-379, la CNIL a prononcé le 5 novembre 2015 une sanction publique à l’encontre de la société Optical Center pour manquement aux obligations d’assurer la sécurité et la confidentialité des données[1].
En l’espèce, la CNIL a été saisie par une cliente qui s’est vu communiquer par téléphone son mot de passe lié à son compte client, pratique laissant supposer que les mots de passe des 170.000 comptes utilisateurs étaient stockés sans protection dans la base de données.
Lors du contrôle, les services de la CNIL se sont attachés à vérifier la conformité des traitements de données à caractère personnel mis en œuvre. Suite à ce contrôle, une mise en demeure a été adressée en vue de la mise en œuvre de mesures correctives.
La société Optical Center ne pouvant justifier que d’une mise en conformité partielle, une procédure de sanction a été engagée, conduisant la CNIL à infliger une amende de 50.000 avec publication de la décision.
Cette affaire est l’occasion de mettre en évidence deux obligations essentielles résultant de la Loi Informatique et Libertés du 6 janvier 1978 modifiée.
- L’obligation d’assurer la sécurité et la confidentialité des données
En application de l’article 34 de la loi informatique et libertés, chaque responsable de traitement est tenu de prendre toutes précautions utiles, au regard de leur nature et des risques présentés par le traitement, pour préserver leur sécurité et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès .
En l’espèce, la Société Optical Center, en tant que responsable de traitement, s’est mise en carence par rapport à cette obligation de sécurité au titre des éléments suivants :
- Absence de protection des mots de passe des clients et prospects au sein de sa base de données,
- Absence de formalisation d’une politique de gestion des mots de passe,
- Absence de mise en œuvre de mesures d’authentification forte,
- Absence de verrouillage automatique des postes informatiques des salariés en cas d’inactivité prolongée,
- Collecte des données à caractère personnel sur des formulaires du site sans sécurisation dudit site.
- L’obligation d’assurer la sécurité et la confidentialité des données gérées par un sous-traitant
Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement.
Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 de la loi informatique et libertés.
L’article 35 de ce texte prévoit ainsi que l’exigence de garantie de la part du sous-traitant ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. A ce titre, le contrat liant le sous-traitant au responsable du traitement doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
En l’espèce, le contrat conclu par la société contrôlée avec un prestataire ne comportait aucune clause relative à la sécurité et à la confidentialité des données. La CNIL a donc retenu ce manquement à l’article 35 de la loi du 6 janvier 1978 modifiée.
Nos conseils :
- La constitution de fichier client à partir d’un site web suppose la mise en place de procédés de sécurité dont doit être en mesure de justifier le responsable de traitement afin d’assurer la confidentialité et l’intégrité des données qu’il collecte. Cette sécurité doit s’entendre à la fois sur un plan Juridique (formalisation d’un Référentiel Sécurité[2]) mais également sur un plan technique (par exemple par la réalisation de tests d’intrusion[3]).
- Tout responsable de traitement doit également s’assurer que son sous-traitant qui intervient sur les données collectées apporte des garanties suffisantes pour assurer la sécurité et la confidentialité de celles-ci. Le contrat liant le sous-traitant au responsable du traitement doit à ce titre comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
Afin de se prémunir contre ce type de sanctions et de la publicité qui les accompagne, chaque acteur économique aura tout intérêt à procéder en amont à un audit des différents traitements mis en œuvre dans le cadre de son activité.
Cet audit préventif apparaît aujourd’hui incontournable pour s’assurer d’une mise en conformité légale qui participe également directement à la valorisation des fichiers et données de l’entreprise.
C’est, du reste, sur cette voie que le législateur européen entend intervenir lors de l’adoption finale du projet de Règlement relatif à la protection des données à caractère personnel, adoption qui devrait très prochainement intervenir[4].
Le cabinet HAAS, labélisé par la CNIL pour ses missions d’audits de traitement et de formations aux enjeux de la loi informatique et libertés est à votre disposition pour répondre à vos questions. N’hésitez pas à nous contacter en cliquant ICI.
[1] Cf. pour d’autres sanctions sur ce thème : https://www.haas-avocats.com/actualite-juridique/orange-avertie-par-la-cnil-suite-a-une-faille-de-securite/?nabe=5782488554143744:0&utm_referrer=https%3A%2F%2Fwww.google.fr ;
[2] Cf. sur ce thème https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/?nabe=5782488554143744:0&utm_referrer=https%3A%2F%2Fwww.google.fr
[3] Cf. sur ce thème https://www.haas-avocats.com/data/une-reponse-juridique-aux-besoins-de-la-securite-la-politique-de-gestion-des-incidents/?nabe=5782488554143744:0&utm_referrer=https%3A%2F%2Fwww.google.fr
[4] Cf. sur ce thème : https://www.haas-avocats.com/ecommerce/vie-privee-protection-des-donnees-qui-changer-2016-partie-une-obligation-securite-renforcee/?nabe=5782488554143744:0&utm_referrer=https%3A%2F%2Fwww.google.fr