Type de juridiction : CNIL

Juridiction : Conseil d’Etat

Thématique : Données personnelles : attention au fichier robots.txt

Affaire Pernod Ricard

C’est en saisissant dans l’URL d’un navigateur les noms des répertoires contenus dans le fichier robots.txt , à la suite de l’adresse du site de la société Pernod Ricard, qu’il a été possible à une délégation de la CNIL d’accéder aux données à caractère personnel de plusieurs milliers de clients de la société. Les données personnelles en cause étaient bien exclues de l’indexation par les moteurs  de recherche, mais leur accès n’était pas restreint par des mesures de sécurité particulières.

Obligation de préserver la sécurité des données nominatives

La société a reçu un avertissement de la CNIL pour avoir manqué à son obligation de préserver la sécurité et la confidentialité des données à caractère personnel des internautes dont les données sont collectées via son site Ricard.com , en violation de l’article 34 de la loi Informatique et Libertés.

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Question de la sous-traitance

La société a fait valoir sans succès qu’elle avait  satisfait à son obligation de moyens en ayant eu recours à des professionnels reconnus dans ce secteur, tant pour l’hébergement de son site web que pour la gestion de son contenu. En vertu de l’article 35 de la loi Informatique et Libertés, l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte.

Télécharger