UTILISATION DES COOKIES : en poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer une navigation personnalisée, des publicités adaptées à vos centres d’intérêts et la réalisation de statistiques. Pour en savoir plus et paramétrer vos cookies, cliquez ici 

La CNIL inflige à DARTY une amende de 100 000 euros pour une atteinte à la sécurité des données clients

Décryptages
Outils
TAILLE DU TEXTE

Commentaire sur la sanction pécuniaire infligée par la CNIL à Darty pour une atteinte à la sécurité des données clients, rédigé par Annabelle Richard, avocate associée au sein du cabinet Pinsent Masons et Valentine Morand.

A la suite d'un signalement par l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information, la CNIL a pu constater une faille de sécurité au sein de l'outil de centralisation des demandes de service après-vente de la société DARTY.

En effet, à chaque fiche issue d'un formulaire de demande de service après-vente était associé un numéro, reporté dans l'URL. Chaque fiche était donc accessible en ligne par simple remplacement de ce numéro dans l'URL. Plus de 900 000 fiches comprenant des données personnelles de clients telles que leur nom, prénom, adresse postale, adresse email ainsi que leurs commandes étaient donc potentiellement accessibles en ligne.

Une telle accessibilité a valu à la société DARTY une amende substantielle.

La société DARTY, responsable de traitement

Pour échapper à la sanction; la société DARTY s'est d'abord défendue d'être elle-même responsable de cette faille de sécurité. Elle soutenait qu'elle ne pouvait être considérée comme le responsable de traitement du formulaire de collecte affecté par le défaut de sécurité.

Selon la loi "Informatique et Libertés", texte de référence en matière de données personnelles, le responsable d'un traitement est la personne qui détermine deux éléments de ce traitement : ses finalités et ses moyens.

La société DARTY ne considérait pas tomber sous le coup de cette définition puisque le formulaire litigieux, développé et commercialisé par son sous-traitant, constituait la seule des trois sources de l'outil de gestion des demandes de service après-vente qui n'avait pas été contractuellement prévue.

La CNIL lui a opposé une définition bien plus large et concrète du responsable de traitement.

Tout d'abord, elle identifie la finalité du traitement litigieux comme la gestion et le traitement des demandes de service après-vente. Cette finalité est évidemment propre à la société DARTY.

Ensuite, quand bien même le sous-traitant aurait décidé seul d'ajouter le formulaire litigieux aux moyens de convenus, le choix par la société DARTY de recourir à cette solution informatique et le fait que seuls les salariés de la société DARTY aient accès aux données traitées font de cette société le décisionnaire au moins partiel des moyens du traitement litigieux.

La société DARTY ne peut donc pas échapper à la qualification de responsable de traitement.

La société DARTY, responsable du défaut de sécurité de ses données clients

La société DARTY a également mis en avant le fait que son sous-traitant n'a pas agi sur ses instructions mais au contraire hors du cadre défini par le contrat conclu entre les deux sociétés. A ce titre elle ne peut être tenue pour responsable pour les manquements de son sous-traitant.

Cet argument est rapidement balayé par la CNIL qui rappelle que la responsabilité du responsable de traitement est inévitable en cas de violation de la loi "Informatique et Libertés". En effet, loin de soulager le responsable de traitement, l'article 35 de cette loi lui ajoute une responsabilité supplémentaire de contrôle des agissements de son sous-traitant.

Ayant recours à un logiciel standard, il revenait donc à la société DARTY de vérifier dès l'achat - mais aussi par la suite – que le logiciel ne présentait pas de risques de sécurité et, le cas échant, supprimer la source de ces risques.

La CNIL reproche également à la société DARTY de ne pas avoir suffisamment suivi le processus de correction du défaut de sécurité. En effet, il aura fallu attendre le second contrôle de la CNIL pour voir ce défaut disparaître.

L'arrivée du Règlement européen sur la protection des données personnelles ("RGPD"), le 25 mai 2018, n'aurait sans doute pas changé la solution retenue en ce que le responsable de traitement devra dès lors mettre en œuvre la protection des données dès la conception et la protection des données par défaut. Ainsi, dès la conception du traitement, le formulaire de collecte litigieux aurait dû être identifié et désactivé. La notion de protection de données par défaut indique par ailleurs très précisément que les mesures devant être prises par le responsable de traitement "garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée".[1]

Néanmoins, il est intéressant de noter que le règlement européen introduit un principe de responsabilité du sous-traitant. En effet, ce dernier se voit soumis à une triple responsabilité : contractuelle vis-à-vis de son responsable de traitement, directe vis-à-vis des personnes concernées et administrative face aux pouvoirs de sanction de la CNIL.[2]

Néanmoins, ici, c'est la société DARTY seule qui se voit infliger une amende d'un montant de 100,000 euros. Si des défauts de sécurité des données comparables avaient déjà été identifiés par le passé, aucune n'avait conduit à une sanction pécuniaire aussi lourde.[3]

A quelques semaines de l'entrée en application du RGPD, la CNIL enverrait-elle le signal qu'elle se prépare volontiers et dès aujourd'hui à prononcer des sanctions financières largement alourdies ?

Par Annabelle Richard & Valentine Morand, cabinet Pinsent Masons

___________________________

NOTES

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Article 25

[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Articles 82 et 83

[3] Délibération n°2014-298 du 7 août 2014 ; Délibération n°2017-012 du 16 novembre 2017; Délibération n°2017-010 du 18 juillet 2017; Délibération n° 2016-108 du 21 avril 2016 ; Délibération n°2017-011 du 20 juillet 2017