Données personnelles non protégées
En matière de protection des données personnelles, il convient de suivre de près la mise en production d’un site internet par un prestataire et de mettre à sa charge une garantie d’éviction sur le volet sécurité des données. Une sanction pécuniaire de 250.000 euros a été prononcée par la CNIL contre la société Optical Center.
Faille de sécurité en ligne
Suite à une information, la CNIL a effectué des vérifications en ligne sur le site d’Optical Center qui ont permis de constater qu’il était possible d’accéder librement, à partir des URL qui lui avaient été transmises, à plusieurs factures contenant les données à caractère personnel suivantes : nom, prénom, adresse postale, correction ophtalmologique et, pour certaines d’entre elles, la date de naissance des clients ainsi que leur numéro d’inscription au répertoire national d’identification des personnes physiques (NIR). Il était possible, depuis le domaine optical-center.fr et sans authentification préalable à l’espace client, d’exporter au format CSV, un échantillon de 2085 fichiers correspondant aux données personnelles de clients de l’enseigne. Le nombre de documents concernés par cette faille de sécurité a été chiffré à près de 300 000 factures de clients.
Sanction sans mise en demeure
Cette sanction pécuniaire a été prononcée sans mise en demeure. Il résulte de l’article 45 de la loi du 6 janvier 1978 que le prononcé d’une sanction CNIL n’est pas subordonné à l’adoption préalable systématique d’une mise en demeure « lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévue au présent I ». L’objet de la réforme introduite par la loi pour une République numérique était d’élargir la gamme des sanctions directes que peut appliquer la CNIL, en autorisant le prononcé d’une sanction pécuniaire sans mise en demeure préalable, alors qu’auparavant, la formation restreinte ne pouvait en pareil cas prononcer qu’un avertissement. La loi précise expressément que lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure (qui ne peut par construction avoir d’effet que pour l’avenir et non pour le passé), la formation restreinte peut prononcer les sanctions prévues.
Notion de fuite des données
La fuite de données correspond simplement au manquement à l’obligation d’assurer la sécurité et la confidentialité des données. A ce titre, l’article 34 de la loi du 6 janvier 1978 dispose que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » . En l’occurrence, les mesures élémentaires de sécurité n’avaient pas été prises en amont de la mise en production d’une nouvelle fonctionnalité du site internet de la société Optical Center.
Suivre de près la mise en production d’un site
Pour entrer dans les détails techniques, le site internet de la société, qui permet d’effectuer des commandes en ligne après avoir créé un compte dédié, n’intégrait pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant de lui donner accès aux dits documents. La formation restreinte a estimé que la société aurait dû mettre en place une restriction d’accès aux documents mis à disposition des clients via leur espace réservé dès lors que ce dernier a précisément pour objet de permettre aux clients d’accéder aux commandes en cours et passées, à leurs avoirs ou encore à leurs factures. La mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle dont la mise en œuvre aurait permis de réduire significativement le risque de survenance d’une telle violation de données.
De manière générale, l’exposition de ressources sans contrôle d’accès préalable, est identifiée depuis de nombreuses années comme faisant partie des failles de sécurité devant faire l’objet d’une surveillance particulière et doit, en conséquence, faire l’objet de vérifications notamment dans le cadre d’audits de sécurité.
[toggles class= »yourcustomclass »]
[toggle title= »Télécharger la Décision »]Télécharger [/toggle]
[toggle title= »Contrat sur cette thématique »]Vous disposez d’un modèle de document juridique sur cette thématique ? Besoin d’un modèle ? Complétez vos revenus en le vendant sur Uplex.fr, la 1ère plateforme de France en modèles de contrats professionnels[/toggle]
[toggle title= »Vous avez une expertise dans ce domaine ? »]Référencez votre profil sur Lexsider.com, la 1ère plateforme de mise en relation gratuite Avocats / Clients[/toggle]
[toggle title= »Poser une Question »]Posez une Question Juridique sur cette thématique, la rédaction ou un abonné vous apportera une réponse en moins de 48h.[/toggle]
[toggle title= »E-réputation | Surveillance de marques »]Surveillez et analysez la réputation d’une Marque (la vôtre ou celle d’un concurrent), d’une Personne publique (homme politique, acteur, sportif …) sur tous les réseaux sociaux (Twitter, Facebook …). Testez gratuitement notre plateforme de Surveillance de Marque et de Réputation numérique.[/toggle]
[toggle title= »Paramétrer une Alerte »]Paramétrez une alerte de Jurisprudence sur ce thème pour être informé par email lorsqu’une décision est rendue sur ce thème[/toggle]
[/toggles]
Points juridiques et Modèles de contrats associés:
- Site internet non finalisé : la résolution judiciaire… Lorsqu’un site internet commandé auprès d’un prestataire n’est pas finalisé et adapté aux besoins du client, ce dernier est en droit de demander la résolution du contrat. En cas de demande de réception forcée par le prestataire, il est vivement conseillé au client d’émettre des réserves sur la nécessité de finaliser le site (exemple : création du catalogue interactif, l’inadaptation…
- Contrat de commande de site : la qualité de non… Stipuler une clause d’absence de contestation de la qualité de professionnel peut être redoutable et priver le client des dispositions protectrices du Code de la consommation.
- Site internet non livré dans les délais : l’indemnisation du… Il ressort des emails de la société Bewapp qu’aucun site n’était livré un an après la date prévue entre les parties. La société Bewapp, qui ne comparaît pas en appel,
- Réseaux sociaux : la cession globale des œuvres futures… En l’espèce, les clauses des CGU de Facebook, stipulaient que l’utilisateur reste titulaire des droits sur le contenu qu’il publie lorsqu’il publie des « contenus » ou des « informations » sur le réseau social (« Le contenu et les informations que vous publiez sur Facebook vous appartiennent »).
- Campagne publicitaire Heineken sanctionnée Concernant les produits de l’alcool, les bâches publicitaires ne figurent pas parmi les supports publicitaires autorisés par le Code de la santé publique. Un slogan publicitaire incitant à la consommation de l’alcool est illicite) notamment lorsqu’il fait référence aux prétendues vertus désinhibitrices de l’alcool, censées permettre au consommateur de s’ouvrir au monde l’environnant.
- RMC sanctionnée par le CSA La chaîne RMC Découverte n'a pas respecté ses obligations de diffusion d'oeuvres audiovisuelles françaises et européennes aux heures de grande écoute. Le Conseil d’État a confirmé la sanction de 10 000 euros prise par le CSA. Eu égard à l'ampleur des manquements constatés, la société RMC n'était pas fondée à soutenir que le montant de la sanction n'était pas proportionné…
- Référencement forcé sur les annuaires : une pratique… Le référencement forcé de prestataires (avocats, commerçants …) par un site internet peut être sanctionné dès lors que ce référencement prête à confusion et vise à privilégier les services des partenaires du site.
- Voyages en ligne : entente anticoncurrentielle sanctionnée La Cour de cassation a confirmé la sanction prononcée par l'Autorité de la concurrence contre SNCF mobilités et la société de droit américain Expedia Inc. pour avoir mis en œuvre, en violation des articles 101 du Traité sur le fonctionnement de l'Union européenne et L. 420-1 du code de commerce (6,9 millions d'euros à la société Switch),
- Comme J‘Aime : publicité trompeuse sanctionnée Attention à la fausse gratuité : une association de consommateurs a obtenu la condamnation de la société Comme J’aime pour publicité trompeuse au titre de la fausse gratuité de la « 1ère semaine gratuite ». La Société Comme J’aime a dû supprimer de l’ensemble de ses supports publicitaires (presse, télévision, internet), y compris les témoignages, la mention d’une semaine gratuite…
- Fraude à l’étiquetage sanctionnée par la concurrence… Le fait pour une société de faire réaliser et apposer des étiquettes au nom de son concurrent (miel de Maniba), pour vendre un produit qu’elle a importé et transformé relève bien d’un fait de concurrence parasitaire. La similitude des étiquettes de la Miellerie de Maniba et celles apposées par le concurrent ont permis à ce
- Directive sur le blanchiment de capitaux : transposition… La Roumanie et l’Irlande ont été condamnées à payer à la Commission européenne respectivement, une somme forfaitaire d’un montant de 3 000 000 euros et de 2 000 000 euros. Ces deux États membres n’ont pas transposé, dans le délai prévu, de manière complète la directive relative à la prévention de l’utilisation du système financier aux fins du blanchiment de…
- Référencement trompeur : EnVoitureSimone sanctionnée Faisant suite à des signalements émanant de plusieurs auto-écoles, le Service National des Enquêtes de la DGCCRF a mené des investigations sur les pratiques de la société EVS Auto-école qui exploite le site Internet Envoituresimone.com. Ce site propose une formation en ligne au code de la route et, dans certaines agglomérations, des cours de conduite dispensés par des moniteurs partenaires.
- Droits de rétractation du consommateur : la case pré-cochée… La Direction Départementale de la Protection des Populations du Val-de-Marne a constaté dans le cadre de ses investigations que la société FUTURA INTERNATIONALE a commis une infraction à l’article L.121-2 du code de la consommation. Cette société trompe le consommateur sur son droit de rétractation en :
- Recourir à des non professionnels pour un spot publicitaire… Le régime des mannequins exerçant à titre occasionnel est applicable dès lors que les deux conditions de l’article L7123-2 du code du travail sont réunies : i) présentation promotionnelle
- Clause de non concurrence du franchisé Il est possible de faire annuler une clause de non concurrence stipulée à un contrat de franchise même si la clause apparaît limitée dans le temps, dans l’espace et quant à son objet et qu’une telle limitation apparaît nécessaire à la protection du savoir-faire du franchiseur
absence de mise en demeure, article 34 de la loi du 6 janvier 1978, audit de sécurité, CNIL, Données des clients, Données personnelles, faille de sécurité, Fuite de données, mise en demeure, mise en production d’un site, NIR, Optical center, pouvoir de sanction de la CNIL, RGDP, sanction CNIL, Site non sécurisé