Un grand groupe condamné en sa qualité de responsable de traitement de données : une décision de la CNIL à analyser à l’aune de l’entrée en application du RGPD
CNIL, Délibération du 8 janvier 2018.
Dans une délibération rendue le 8 janvier 2018 par sa formation restreinte, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 100.000 euros à un groupe français spécialisé dans la distribution de matériel électroménager et dans la culture, pour ne pas avoir protégé les données de nombreux clients de son service après-vente en ligne. En effet, en février 2017, l’autorité administrative a été informée par un site spécialisé –qui a attiré l’attention sur cette affaire en activant son protocole d’alerte, après avoir eu vent d’une fuite de données – de l’existence d’un incident de sécurité concernant le traitement de ces demandes de service après-vente.
En mars, à l’occasion d’un premier contrôle à distance, les équipes de la CNIL localisent la défaillance de sécurité au niveau d’un formulaire en ligne de demande de service après-vente. Cette faille permet ainsi d’accéder librement à l’ensemble des demandes mais aussi et surtout aux données renseignées par les clients de la société, ceci par une simple modification de l’URL de la requête.
Il ainsi constaté à l’accès à près d’un million de réclamations de consommateurs contenant des informations telles que les noms, prénoms, adresses postales, ou encore les adresses de messagerie électronique et les numéros de téléphone des clients.
Ce premier constat est suivi par un second contrôle effectué cette fois sur place. Entre temps, et en dépit d’un avertissement à la société, les fiches des clients sont restées accessibles, tandis que de nouvelles fiches ont été créées et exposées à leur tour au risque de divulgation des données renseignées.
Le point essentiel de cette affaire est que le formulaire à l’origine de la faille de sécurité n’était pas développé par la société directement mais par un de ses sous-traitants. La CNIL vient donc préciser que l’intervention d’un sous-traitant ne décharge en rien le groupe français de son obligation de préserver la sécurité des données personnelles traitées pour son compte conformément à l’article 34 de la loi Informatique et Libertés.
La négligence de la société est ainsi sanctionnée sur le fondement de cet article 34, puisque la société aurait préalablement dû vérifier que l’outil installé par son prestataire protégeait bien les données des clients, une telle vérification relevant, d’après la CNIL, « des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information« .
Cette décision est à analyser à l’aune de l’entrée en application du Règlement européen sur la protection des données (RGPD), prévue pour le 25 mai 2018. Il est en effet essentiel de noter qu’une telle affaire ne sera plus jugée de la même façon à partir de cette date, qui marque le passage à une coresponsabilité entre le responsable du traitement et son sous-traitant.