[:fr]
Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).
Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.
La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».
La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.
[:en]
Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).
Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.
La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».
La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.
[:]