Internet | Informatique

Darty sanctionnée par la CNIL | 29 janvier 2018

100.000 euros pour négligence

Une faille de sécurité sur le site de Darty a abouti à une sanction de 100 000 euros prononcée par la CNIL. En modifiant l’identifiant numérique dans une URL, près d’un million de fiches de demande de service après-vente de clients étaient consultables en ligne.

Sécurité des données personnelles

Darty a manqué à son obligation de mettre en œuvre des moyens propres à assurer la sécurité des données à caractère personnel traitées dans le cadre de la gestion des demandes de service après-vente de ses clients, en particulier d’empêcher que les données ne soient accessibles à des tiers non autorisés.

En retenant un logiciel standard dit « sur étagère » proposé par son prestataire, il incombait à la société Darty de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.

La vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques.  En outre, il appartenait à la société de procéder de façon régulière à la revue des formulaires de demande de service après-vente accessibles et permettant d’alimenter l’outil de gestion des demandes de service après-vente. Une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

Responsabilité du sous-traitant

Indépendamment du contrat de sous-traitance conclu avec son prestataire informatique, la société Darty est demeurée seule responsable du traitement. En effet, cette dernière a déterminé la finalité du traitement des données collectées via l’URL litigieuse (la gestion du SAV). En outre, les données à caractère personnel du formulaire développé par le prestataire étaient celles des clients de Darty.

Il résulte de l’article 35 de la loi du 6 janvier 1978 modifiée que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte (CE 11 mars 2015, Sté Total raffinage marketing et société X, n° 368748).

Pour rappel au sens du I de l’article 3 de la loi n° 78-17 du 6 janvier 1978 modifiée, « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. »

L’article 35 de la loi précitée dispose que « Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant, d’une personne agissant sous l’autorité du responsable du traitement ou de celle du sous-traitant, que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement ».

Réflexe juridique

Le client ne dispose pas nécessairement de l’expertise technique pour contrôler les actions de son prestataire en matière de sécurité informatique des données personnelles collectées / traitées. En conséquence, il est conseillé i) de suivre les directives de ce Guide de la sécurité des données nominatives (CNIL) et ii)  de mettre en place un référentiel de sécurité applicable notamment à la programmation / développement de formulaires de collecte des données (valeur contractuelle) sur lequel s’engagera le prestataire. Ce référentiel devra être assorti d’une clause de garantie d’éviction en cas de condamnation du client pour manquement à son obligation d’assurer la sécurité des données personnelles collectées.

Il appartient toujours au responsable du traitement, de s’assurer et de vérifier que toutes les composantes et les options de ses outils informatiques permettant la collecte ou la gestion de données personnelles répondent à l’obligation de confidentialité énoncée à l’article 34 de la loi du 6 janvier 1978. Au besoin et en application de règles de bonnes pratiques en matière informatique, il revient au responsable du traitement de faire désactiver tous les modules inutilement mis en œuvre par son prestataire.

[toggles class= »yourcustomclass »]

[toggle title= »Télécharger la Décision » class= »in »]Télécharger [/toggle]

[toggle title= »Poser une Question »]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]

[toggle title= »Surveillance & Analyse de Marque » class= »in »]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]

[toggle title= »Paramétrer une Alerte »]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]

[toggle title= »Commander un Casier judiciaire »]Commandez le Casier judiciaire d’une société ou sur l’une des personnes morales citées dans cette affaire.[/toggle]

[toggle title= »Vous êtes Avocat ? »]Vous êtes Avocat ? Référencez vos décisions, votre profil et publiez vos communiqués Corporate sur Lexsider.com. Vos futures relations d’affaires vous y attendent.[/toggle]

[/toggles]

Haut
error: Content is protected !!