CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

[:fr]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER.

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf[:en]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf

 [:]

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

Externalisation de traitements de données à l’étranger: pas de transfert de données hors UE sans l’autorisation préalable de la CNIL

[:fr]

Le responsable d’un traitement de données à caractère personnel peut transférer les données vers un Etat n’appartenant pas à la Communauté européenne à deux conditions : soit « cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données peuvent faire l’objet » (art. 68 de la loi du 6 janvier 1978), soit, « par décision de la CNIL […] lorsque le traitement garantit un niveau de protection suffisant de la vie privée » (art. 69 de la loi du 6 janvier 1978).

Dans une délibération du 21 décembre 2015, la CNIL a rappelé que, « le principe d’interdiction de transférer des données vers un Etat n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection adéquat de la vie privée, ne peut être levé qu’après une décision de la CNIL ».

Dans cette affaire, la CNIL avait, 18 mois après la clôture d’une plainte, mené un contrôle sur place dans les locaux d’une société ayant pour activité la constitution d’une base de données de séniors. La CNIL avait alors constaté que la société sous-traitait, sans contrat, à un prestataire situé à l’Ile Maurice la mission de contacter par téléphone, en son nom, des personnes choisies dans l’annuaire afin de collecter leurs données à caractère personnel.

La CNIL qualifie une telle pratique de transfert de données hors de l’UE vers un pays n’assurant pas un niveau de protection suffisant de la vie privée, et relève que le responsable du traitement n’a ni conclu de contrat avec ce prestataire, ni sollicité l’autorisation préalable de la CNIL avant la mise en œuvre du traitement.

La CNIL rappelle qu’elle apprécie si un traitement garantit un niveau de protection suffisant notamment au regard des clauses insérées dans le contrat avec le sous-traitant. A cet égard, il est important de rappeler, d’une part, que la Commission Européenne a proposé des clauses contractuelles type le 5 février 2010 qui constituent une base de négociation utile avec tout sous-traitant et, d’autre part, que la CNIL a prononcé le 5 décembre 2015 une sanction de 50.000€ à l’encontre de la société Optical Center considérant que cette dernière n’avait pas suffisamment assuré la sécurité et la confidentialité des données de ses clients, notamment dans le cadre de ses relations avec ses prestataires cf notre article sur le sujet http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ).

Dans l’affaire « Profils Seniors », la formation restreinte de la CNIL a, sur le fondement de nombreux manquements à la loi Informatique et Libertés et notamment les articles 67 et 68 de la loi Informatique et libertés, prononcé un avertissement public à l’encontre de la société.

(Délibération de la formation restreinte de la CNIL n°2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société PROFILS SENIORS http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-454_avertissement_PROFILS-SENIORS.pdf)

[:en]

Le responsable d’un traitement de données à caractère personnel peut transférer les données vers un Etat n’appartenant pas à la Communauté européenne à deux conditions : soit « cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l’égard du traitement dont ces données peuvent faire l’objet » (art. 68 de la loi du 6 janvier 1978), soit, « par décision de la CNIL […] lorsque le traitement garantit un niveau de protection suffisant de la vie privée » (art. 69 de la loi du 6 janvier 1978).

Dans une délibération du 21 décembre 2015, la CNIL a rappelé que, « le principe d’interdiction de transférer des données vers un Etat n’appartenant pas à l’Union européenne et n’assurant pas un niveau de protection adéquat de la vie privée, ne peut être levé qu’après une décision de la CNIL ».

Dans cette affaire, la CNIL avait, 18 mois après la clôture d’une plainte, mené un contrôle sur place dans les locaux d’une société ayant pour activité la constitution d’une base de données de séniors. La CNIL avait alors constaté que la société sous-traitait, sans contrat, à un prestataire situé à l’Ile Maurice la mission de contacter par téléphone, en son nom, des personnes choisies dans l’annuaire afin de collecter leurs données à caractère personnel.

La CNIL qualifie une telle pratique de transfert de données hors de l’UE vers un pays n’assurant pas un niveau de protection suffisant de la vie privée, et relève que le responsable du traitement n’a ni conclu de contrat avec ce prestataire, ni sollicité l’autorisation préalable de la CNIL avant la mise en œuvre du traitement.

La CNIL rappelle qu’elle apprécie si un traitement garantit un niveau de protection suffisant notamment au regard des clauses insérées dans le contrat avec le sous-traitant. A cet égard, il est important de rappeler, d’une part, que la Commission Européenne a proposé des clauses contractuelles type le 5 février 2010 qui constituent une base de négociation utile avec tout sous-traitant et, d’autre part, que la CNIL a prononcé le 5 décembre 2015 une sanction de 50.000€ à l’encontre de la société Optical Center considérant que cette dernière n’avait pas suffisamment assuré la sécurité et la confidentialité des données de ses clients, notamment dans le cadre de ses relations avec ses prestataires (cf notre article sur le sujet http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ).

Dans l’affaire « Profils Seniors », la formation restreinte de la CNIL a, sur le fondement de nombreux manquements à la loi Informatique et Libertés et notamment les articles 67 et 68 de la loi Informatique et libertés, prononcé un avertissement public à l’encontre de la société.

(Délibération de la formation restreinte de la CNIL n°2015-454 du 21 décembre 2015 prononçant un avertissement public à l’encontre de la société PROFILS SENIORS http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/D2014-454_avertissement_PROFILS-SENIORS.pdf)

[:]