|
50 000 euros de sanction pour défaut de https
Le Conseil d’Etat a confirmé la sanction pécuniaire de 50 000 euros prononcée par la CNIL contre la société Optical Center. En l’espèce, la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client depuis la page d’accueil du site web de la société, n’était pas accessible depuis une page web sécurisée par le protocole » https « . Préalablement, la société avait été mise en demeure de mettre en oeuvre ce chiffrement et une authentification lors de l’accès à son site, que ce soit au stade de l’authentification des clients ou au stade du renseignement et de la validation du formulaire de collecte des données aux fins de création d’un compte client.
Prestataire hors de causeLa société Optical Center n’a pu se prévaloir du contrat de service la liant à son prestataire internet pour soutenir que ce dernier remplissait les obligations qui lui incombaient en matière de protection de la sécurité et de la confidentialité des données de ses clients. En effet, si le contrat stipulait expressément que « les informations nominatives relatives au Client et contenues dans les fichiers ne seront transmises qu’aux personnes physiques ou morales expressément habilitées à les connaître », le terme » Client » renvoyait à la société Optical Center et non aux clients de celle-ci. Sécurité insuffisanteLa CNIL était également en droit de sanctionner les insuffisances du dispositif de sécurité sur les postes informatiques des salariés de la société Optical Center. La société avait été mise en demeure d’améliorer la robustesse des mots de passe de ses clients et salariés. Or, lors du contrôle CNIL, il a été constaté une absence de complexité suffisante des mots de passe des clients ayant déjà créé un compte. Enfin, l’article 35 de la loi n° 78-17 du 6 janvier 1978 impose que le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoir que le sous-traitant ne peut agir que sur instruction du responsable du traitement. Là aussi, il a été constaté que le contrat conclu entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données. |
→ Questions / Réponses juridiques
Quelle sanction a été confirmée par le Conseil d’Etat contre Optical Center ?La sanction confirmée par le Conseil d’Etat contre la société Optical Center s’élève à 50 000 euros. Cette décision fait suite à une sanction pécuniaire prononcée par la CNIL, qui a constaté que la zone de saisie de l’identifiant et du mot de passe pour accéder au compte client n’était pas sécurisée par le protocole « https ». Le non-respect de ce protocole de sécurité a été jugé suffisamment grave pour justifier une amende. La CNIL avait précédemment mis en demeure la société de mettre en œuvre des mesures de chiffrement et d’authentification pour protéger les données des clients, tant lors de l’authentification que lors de la collecte des informations pour la création d’un compte client. Pourquoi Optical Center ne peut-elle pas se prévaloir de son contrat avec son prestataire internet ?Optical Center ne peut pas se prévaloir de son contrat avec son prestataire internet pour justifier le non-respect des obligations de sécurité. Bien que le contrat stipule que les informations nominatives des clients ne doivent être transmises qu’aux personnes habilitées, le terme « Client » se réfère à la société elle-même et non à ses clients. Cela signifie que la responsabilité de la protection des données incombe directement à Optical Center, indépendamment des engagements pris par son prestataire. En d’autres termes, la société ne peut pas se décharger de ses obligations légales en matière de sécurité des données sur un tiers, même si un contrat existe. Quelles insuffisances de sécurité ont été relevées par la CNIL concernant Optical Center ?La CNIL a relevé plusieurs insuffisances de sécurité concernant les dispositifs utilisés par Optical Center. Tout d’abord, la société avait été mise en demeure d’améliorer la robustesse des mots de passe de ses clients et de ses salariés. Lors d’un contrôle, il a été constaté que les mots de passe des clients déjà inscrits manquaient de complexité. Cette absence de complexité constitue une faille de sécurité, rendant les comptes clients vulnérables aux attaques. De plus, la CNIL a noté que le contrat entre Optical Center et son sous-traitant ne contenait aucune clause relative à la sécurité et à la confidentialité des données, ce qui est contraire aux exigences de la loi n° 78-17 du 6 janvier 1978. Quelles sont les obligations imposées par la loi n° 78-17 du 6 janvier 1978 ?La loi n° 78-17 du 6 janvier 1978 impose plusieurs obligations en matière de protection des données personnelles. Elle stipule que le contrat entre le responsable du traitement et le sous-traitant doit clairement indiquer les obligations de ce dernier en matière de sécurité et de confidentialité des données. De plus, la loi exige que le sous-traitant n’agisse que sur instruction du responsable du traitement. Cela signifie que toute action entreprise par le sous-traitant doit être validée par le responsable, garantissant ainsi un contrôle sur la gestion des données personnelles. Dans le cas d’Optical Center, le non-respect de ces obligations a contribué à la sanction infligée par la CNIL. |
Laisser un commentaire