Type de juridiction : Conseil d’Etat
Juridiction : Conseil d’Etat
Thématique : Darty sanctionnée par la CNIL
→ RésuméDarty a été sanctionnée par la CNIL à hauteur de 100 000 euros en raison d’une faille de sécurité sur son site. En modifiant un identifiant numérique dans une URL, près d’un million de fiches de demandes de service après-vente sont devenues accessibles en ligne. La société a manqué à son obligation de sécuriser les données personnelles de ses clients, en ne vérifiant pas les caractéristiques de son logiciel de gestion. Malgré la sous-traitance, Darty reste responsable du traitement des données, soulignant l’importance de garantir la sécurité des informations collectées.
|
100.000 euros pour négligence
Une faille de sécurité sur le site de Darty a abouti à une sanction de 100 000 euros prononcée par la CNIL. En modifiant l’identifiant numérique dans une URL, près d’un million de fiches de demande de service après-vente de clients étaient consultables en ligne.
Sécurité des données personnelles
Darty a manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées dans le cadre de la gestion des demandes de service après-vente de ses clients, en particulier d’empêcher que les données ne soient accessibles à des tiers non autorisés.
En retenant un logiciel standard dit « sur étagère » proposé par son prestataire, il incombait à la société Darty de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.
La vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques. En outre, il appartenait à la société de procéder de façon régulière à la revue des formulaires de demande de service après-vente accessibles et permettant d’alimenter l’outil de gestion des demandes de service après-vente. Une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.
Responsabilité du sous-traitant
Indépendamment du contrat de sous-traitance conclu avec son prestataire informatique, la société Darty est demeurée seule responsable du traitement. En effet, cette dernière a déterminé la finalité du traitement des données collectées via l’URL litigieuse (la gestion du SAV). En outre, les données à caractère personnel du formulaire développé par le prestataire étaient celles des clients de Darty.
Il résulte de l’article 35 de la loi du 6 janvier 1978 modifiée que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte (CE 11 mars 2015, Sté Total raffinage marketing et société X, n° 368748).
Pour rappel au sens du I de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée, « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. »
L’article 35 de la loi précitée dispose que « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».
Réflexe juridique
Le client ne dispose pas nécessairement de l’expertise technique pour contrôler les actions de son prestataire en matière de sécurité informatique des données personnelles collectées / traitées. En conséquence, il est conseillé i) de suivre les directives de ce Guide de la sécurité des données nominatives (CNIL) et ii) de mettre en place un référentiel de sécurité applicable notamment à la programmation / développement de formulaires de collecte des données (valeur contractuelle) sur lequel s’engagera le prestataire. Ce référentiel devra être assorti d’une clause de garantie d’éviction en cas de condamnation du client pour manquement à son obligation d’assurer la sécurité des données personnelles collectées.
Il appartient toujours au responsable du traitement, de s’assurer et de vérifier que toutes les composantes et les options de ses outils informatiques permettant la collecte ou la gestion de données personnelles répondent à l’obligation de confidentialité énoncée à l’article 34 de la loi du 6 janvier 1978. Au besoin et en application de règles de bonnes pratiques en matière informatique, il revient au responsable du traitement de faire désactiver tous les modules inutilement mis en œuvre par son prestataire.
Laisser un commentaire