RGPD & Données personnelles : Darty condamné par la CNIL – 100 000 euros
La CNIL a prononcé, par une décision du 9 janvier 2018 publiée au journal officiel, une sanction d’une particulièrement gravité à l’encontre de la société Darty la condamnant à verser la somme de 100 000 €. Il lui est principalement reproché de ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.
Après avoir rempli un formulaire de service après-vente, le site officiel de la société d’électroménager produisait un lien hypertexte « correspondant au numéro d’enregistrement de la demande » dont l’URL affichait le numéro de dossier : http://darty.epticahosting.com/selfdarty/requests.do?id=XXX. En modifiant la dernière variable, il était alors possible de prendre connaissance des fiches remplies par d’autres clients ayant utilisé le mème formulaire et toutes les données personnelles associées.
RGPD & Protection des données : Négligence dans la protection des données de ses clients
Informée de l’existence de cet incident de sécurité en février 2017, la CNIL a procédé à plusieurs contrôles en ligne puis sur site, constatant les défaillances de sécurité évoquées et permettant d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société – 918 721 fiches en tout. Parmi les données accessibles étaient présentes les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients.
Remarquant l’absence de mesures prises pour y remédier malgré une notification de la CNIL, une procédure de sanction a été engagée contre la société « Etablissements Darty et Fils » pour manquement à son obligation de sécurité des données personnelles. La formation restreinte a pu mentionner « qu’une bonne pratique en matière de sécurité des systèmes informatiques aurait consisté à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ».
La CNIL a fondé sa décision sur l’article 34 de la Loi Informatique et Libertés du 6 janvier 1978 rappelant que «Â le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empècher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».
Données personnelles : Un logiciel développé par un tiers à l’origine de la faille
Décision susceptible d’appel devant le Conseil d’état, plusieurs éléments manifestent la dureté de la sanction de la CNIL. D’une part, l’absence de caractère critique ou particulièrement sensible des données révèle la généralité des obligations de protection des données. D’autre part, le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, est issu d’une prestation d’un tiers sous-traitant.
Pourtant la CNIL a considéré Darty, en sa qualité de responsable du traitement, comme tenu de respecter l’obligation de préserver la sécurité des données traitées pour son compte, et devant s’assurer des règles de paramétrage du logiciel et de sécurité – « tests élémentaires qui doivent ètre réalisés par une société en matière de sécurité des systèmes d’information », ainsi que la revue régulière des formulaires en cause.
RGPD : La responsabilisation des entreprises
Socle de la décision, la Loi pour une République Numérique du 7 octobre 2016 a considérablement augmenté les pouvoirs de sanctions de la CNIL à travers ses articles 64 et 65 permettant, outre les mises en demeures et injonctions, de condamner les sociétés à des sanctions pécuniaires plafonnées à trois millions d’euros.
La loi précise ainsi que sont pris en compte la gravité du manquements et les avantages tirés, compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission
La protection des données : nouvel enjeu majeur des sociétés
Première sanction fondée sur la Loi pour une République Numérique, la CNIL a rendu une sanction contre la société Hertz en juillet 2017 pour manquement à son obligation de sécurité des données dans le cadre d’une relation de sous-traitance, la condamnant à 40 000 euros.
Dans le prolongement de cette décision, la sanction contre Darty intervient alors que le Règlement Général sur la Protection des Données a vocation à entrer en application le 25 mai 2018 imposant de nouvelles obligations marquées par des sanctions particulièrement sévères pour les entreprises.
Parmi les nouvelles mesures, le RGPD met particulièrement l’accent sur la responsabilité des sociétés à l’égard du traitement de données et de leur protection et leur obligation de prouver leurs diligences pour contrôler les données de leurs utilisateurs. L’article 33 du RGPD généralise ainsi l’obligation de notification des failles de sécurité à l’autorité de contrôle compétente et impose une nouvelle obligation de communication aux personnes concernées par une violation de leurs données personnelles.
Il revient aux sociétés françaises de se conformer au plus vite à la nouvelle législation en matière de protection de données afin d’éviter des sanctions qui pourraient ètre tout aussi sévères.