L’Essentiel : L’affaire Pernod Ricard illustre les risques liés à la gestion des données personnelles. En accédant aux répertoires du fichier robots.txt, une délégation de la CNIL a pu consulter les données de milliers de clients, malgré leur exclusion de l’indexation par les moteurs de recherche. La société a été avertie pour avoir manqué à son obligation de sécurité, violant ainsi l’article 34 de la loi Informatique et Libertés. Même en recourant à des professionnels pour l’hébergement et la gestion de son site, Pernod Ricard reste responsable de la protection des données, conformément à l’article 35 de la même loi.

Affaire Pernod Ricard

C’est en saisissant dans l’URL d’un navigateur les noms des répertoires contenus dans le fichier robots.txt , à la suite de l’adresse du site de la société Pernod Ricard, qu’il a été possible à une délégation de la CNIL d’accéder aux données à caractère personnel de plusieurs milliers de clients de la société. Les données personnelles en cause étaient bien exclues de l’indexation par les moteurs  de recherche, mais leur accès n’était pas restreint par des mesures de sécurité particulières.

Obligation de préserver la sécurité des données nominatives

La société a reçu un avertissement de la CNIL pour avoir manqué à son obligation de préserver la sécurité et la confidentialité des données à caractère personnel des internautes dont les données sont collectées via son site Ricard.com , en violation de l’article 34 de la loi Informatique et Libertés.

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Question de la sous-traitance

La société a fait valoir sans succès qu’elle avait  satisfait à son obligation de moyens en ayant eu recours à des professionnels reconnus dans ce secteur, tant pour l’hébergement de son site web que pour la gestion de son contenu. En vertu de l’article 35 de la loi Informatique et Libertés, l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte.

Télécharger 

Q/R juridiques soulevées :

Quelles données ont été compromises dans l’affaire Pernod Ricard ?

Les données compromises dans l’affaire Pernod Ricard étaient des données à caractère personnel de plusieurs milliers de clients. Ces données étaient stockées sur le site de la société, Ricard.com, et bien qu’elles aient été exclues de l’indexation par les moteurs de recherche,

leur accès n’était pas suffisamment sécurisé. Cela a permis à une délégation de la CNIL d’accéder à ces informations en utilisant des méthodes simples, comme la saisie des répertoires contenus dans le fichier robots.txt.

Cette situation a soulevé des préoccupations majeures concernant la sécurité des données personnelles et la responsabilité des entreprises dans leur protection.

Quelle a été la réaction de la CNIL face à cette situation ?

La CNIL a réagi en adressant un avertissement à la société Pernod Ricard pour avoir manqué à son obligation de préserver la sécurité et la confidentialité des données personnelles. Cette violation était en contradiction avec l’article 34 de la loi Informatique et Libertés,

qui impose aux responsables de traitement de prendre toutes les précautions nécessaires pour protéger les données. La CNIL a souligné que la société n’avait pas mis en place des mesures de sécurité adéquates pour empêcher l’accès non autorisé à ces données,

ce qui a conduit à une mise en lumière des lacunes dans la gestion des données personnelles par l’entreprise.

Quelles sont les obligations des responsables de traitement des données ?

Les responsables de traitement des données, comme Pernod Ricard, ont l’obligation de prendre toutes les précautions utiles pour garantir la sécurité des données à caractère personnel. Cela inclut la prévention de la déformation, de l’endommagement des données,

et l’accès non autorisé par des tiers. Ces obligations sont stipulées dans la loi Informatique et Libertés, qui exige que les entreprises évaluent les risques associés au traitement des données et mettent en œuvre des mesures de sécurité appropriées.

Le non-respect de ces obligations peut entraîner des sanctions de la part des autorités compétentes, comme la CNIL.

Comment la sous-traitance impacte-t-elle la responsabilité des entreprises ?

Dans le cadre de l’affaire Pernod Ricard, la société a tenté de se défendre en affirmant qu’elle avait respecté ses obligations en faisant appel à des professionnels reconnus pour l’hébergement et la gestion de son site. Cependant,

la CNIL a précisé que la sous-traitance ne dégage pas le responsable de traitement de ses obligations. Selon l’article 35 de la loi Informatique et Libertés, même si une entreprise sous-traite certaines fonctions, elle reste responsable de la protection des données collectées et traitées.

Cela souligne l’importance pour les entreprises de s’assurer que leurs sous-traitants respectent également les normes de sécurité des données.