Sanction de la CNIL : Responsabilité du responsable de traitement du fait de son sous-traitant

January 2018

Par Alexis Guillemin et Mathilde Chevauchez


Sanction de la CNIL

La CNIL sanctionne DARTY en tant que responsable de traitement à hauteur de 100.000 euros, en raison d’une fuite de données personnelles occasionnée par son sous-traitant.

Alertée par un site Internet spécialisé dans la sécurité des systèmes d’information, la CNIL a constaté qu’une simple modification apportée à une URL envoyée aux clients de DARTY dans le cadre du suivi de leurs demandes de service après-vente leur permettait d’accéder à de très nombreuses fiches remplies par d’autres clients et comportant des données comme leurs nom, prénom, adresse postale, adresse de messagerie et les produits commandés.

Interpellée par la CNIL à ce sujet, DARTY se défend toutefois de posséder la qualité de responsable de ce traitement et d’en avoir déterminé la finalité et les moyens, celle-ci appartenant, selon elle, à la société informatique en charge de la gestion dudit service après-vente.

Dans sa délibération n°SAN-2018-001 du 8 janvier 2018, la CNIL contredit néanmoins cette interprétation aux motifs que :


(i)   Peu importe que la fuite des données relève d’un formulaire rendu accessible de la seule initiative de la société informatique, l’unique finalité du traitement des données personnelles est toutefois déterminée par DARTY, en vue de la gestion de son service après-vente.


(ii)   Ensuite, DARTY a déterminé au moins une partie des moyens du traitement litigieux en recourant à la solution de gestion proposée par la société informatique à laquelle seuls ses salariés ont en principe accès, le fait que la société de gestion informatique ait décidé de son propre chef d’ajouter un moyen de traitement par le biais du formulaire litigieux, n’écartant pas cette responsabilité.


La CNIL rappelle d’ailleurs à cette occasion que la notion de détermination des moyens ne se limite pas à « des questions techniques et d’organisation » mais couvre également d’autres aspects essentiels tels que la nature des données à traiter ou la durée du traitement.

La CNIL considère donc que DARTY a manqué aux obligations de sécurité des données qui incombent à tout responsable de traitement en vertu de l’article 34 de la Loi Informatiques et Libertés telle que modifiée. Elle lui reproche ainsi plus particulièrement de ne pas avoir été suffisamment diligente, en ne procédant pas régulièrement à la revue des formulaires de demande de service après-vente accessibles depuis son site Internet et en ne désactivant pas les outils non nécessaires, voire dommageables, pour ses consommateurs.

Elle la sanctionne en conséquence à hauteur de 100.000 euros.

Si, en l’espèce, la société de gestion informatique a été épargnée par cette procédure, les sous-traitants n’étant pas tenus directement responsables sous la loi Informatiques et Libertés, il pourra en être tout autrement à compter de l’entrée en vigueur du RGDP le 25 mai prochain.

Celui-ci traite en effet le sous-traitant comme l’un des co-responsables directs de la sécurité des données personnelles, au même titre que son donneur d’ordre, à charge pour lui de mettre en place en interne toutes mesures organisationnelles et techniques suffisantes et adaptées au risque encouru.

La plus grande prudence est donc désormais également de mise pour ces derniers.











logo
6 Bis, rue de Montevideo
75116 Paris France

Where are we ?
Open the map