Une piqûre de rappel utile au moment où se développe la société du numérique et où les données personnelles doivent être impérativement protégées. Le 8 janvier 2018, la formation restreinte de la CNIL a prononcé une sanction d’un montant de 100 000 euros à l’encontre de la société DARTY, constatant un manquement de la société à son obligation de sécurité des données personnelles. Comme la société renvoyait la responsabilité sur un sous-traitant, la CNIL a rappelé que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte ».
La loi relative à l’informatique, aux fichiers et aux libertés impose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Comme les incidents de sécurité se multiplient, la CNIL a décidé d’une sanction financière conséquente et de rendre public sa décision. La société avait deux mois pour faire éventuellement appel devant le Conseil d’Etat.
« La formation restreinte relève que la société a fait preuve de négligence dans le suivi des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées et directement identifiantes se rapportant à de nombreux clients.
Si la formation restreinte prend acte de l’absence de traitement de données sensibles telles que définies à l’article 8 de la loi du 6 janvier 1978 modifiée ou de données bancaires, pour autant, elle considère que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées.
La formation restreinte note, en revanche, que la société a réagi dès qu’elle a eu connaissance de la violation de données en alertant son sous-traitant et qu’il a été mis fin à la violation de données dans un délai raisonnable. Elle relève également que la société a pris l’initiative, après la survenance de la violation de données, de faire procéder à un audit de sécurité en août 2017 sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire. Elle note, enfin, sa bonne coopération avec la Commission.
Au regard de ces éléments, une sanction d’un montant de 100.000 (cent mille) euros apparait proportionnée.
La formation restreinte considère qu’au regard des éléments précités, du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes de quant au risque pesant sur la sécurité de leurs données, il y a lieu de rendre publique sa décision. »
L’avis complet est à lire ici.
Mots-clefs : commerce, démocratie, libertés, numérique
