La formation restreinte de la Cnil prononce une sanction de 100.000 € à l’encontre de la société Darty pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.
Revenons sur les faits, la Commission nationale de l’informatique et des libertés (Cnil) annonce avoir sanctionné Darty pour ne pas avoir protégé les données de certains clients du service après-vente. Une faille de sécurité permettait d’accéder librement aux données renseignées par les clients du distributeur dans un formulaire en ligne. La Commission Nationale de l’Informatique et des Libertés (la Cnil) avait été informée de l’existence d’un incident de sécurité concernant le traitement des demandes de service après-vente des clients de la société Darty. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient de facto accessibles.
En conséquence, elle a prononcé une sanction d’un montant de 100.000 €, estimant que Darty avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés. Soulignons que la Cnil a estimé que le simple fait que Darty fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement. La société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information.
La formation restreinte de la CNIL relève que la société a fait preuve de légèreté dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients. Néanmoins, la société a réagi dès qu’elle a eu connaissance de la violation de données en alertant son sous-traitant et il a été mis fin à la violation de données dans un délai raisonnable. Elle constate aussi que la société a pris l’initiative, après la survenance de la violation de données, de faire procéder à un audit de sécurité sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire et note sa bonne coopération avec la Commission.
De ce fait, la Cnil estime au regard de ces éléments qu’une sanction d’un montant de 100.000 € apparait proportionnée.
Observons qu’à compter du 25 mai 2018, il existera de nouvelles obligations en matière de failles de sécurité. En effet, le règlement général sur la protection des données (RGPD) généralise l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles. Ces obligations s’appliquent à tous les responsables de traitement, c’est-à-dire à tout organisme qui « détermine les finalités et les moyens du traitement », et non plus seulement aux entreprises fournissant des services de communications électroniques, comme le droit français l’impose à l’heure actuelle.
Triplement labélisé CNIL, Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs traitements. Vous souhaitez en savoir plus sur nos prestations d’accompagnement en cette matière ? Contactez-nous en cliquant ICI.
