La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

Rapport d’activité 2015 de la CNIL : une augmentation de 20% des contrôles et de 50% des mises en demeure

La CNIL a rendu public le 8 avril 2016 son rapport d’activité pour l’année 2015.

Il en ressort que la CNIL, dans le cadre de ses missions de contrôle et de sanction, a réalisé 510 contrôles en 2015, en augmentation de 20% par rapport à l’année précédente. 70% de ces missions concernaient le secteur privé.

Sur les 510 contrôles réalisés, 155 l’ont été en ligne. Pour mémoire, c’est la loi relative à la consommation, dite « loi Hamon » du 17 mars 2014 qui a donné à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations sont relevées dans un procès-verbal adressé aux organismes concernés et leur sont opposables. La CNIL peut ainsi facilement et rapidement vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique.

L’année 2015 est également marquée par une hausse du nombre de mises en demeure (93 soit une augmentation de 50 % par rapport à 2014). Il est intéressant de noter que la grande majorité des mises en demeure fait suite à des missions de contrôle (92 % des décisions) dont certaines consécutives à des plaintes reçues.

Le rapport de la CNIL liste les sanctions prononcées en 2015 et notamment les sanctions pécuniaires prononcées à l’encontre de la société OPTICAL CENTER le 5 novembre 2015 (évoquée ici : http://mvm-avocat.fr/cnil-defaut-de-securite-et-confidentialite-des-donnees-sanction-pecuniaire-de-50-000-e-et-publicite-de-la-decision-optical-center/ ), l’avertissement public prononcé à l’encontre de la société PROFIL SENIORS le 21 décembre 2015 (détaillée ici : http://mvm-avocat.fr/externalisation-de-traitements-de-donnees-a-letranger-pas-de-transfert-de-donnees-hors-ue-sans-lautorisation-prealable-de-la-cnil/ ) ainsi que la décision du Conseil d’Etat du 30 décembre 2015 (société ORANGE évoquée ici : http://mvm-avocat.fr/obligations-responsable-de-traitement-matiere-de-traitance-de-donnees-a-caractere-personnel/ ).

Pour prendre connaissance dans le détail du rapport de la CNIL : https://www.cnil.fr/sites/default/files/atoms/files/cnil-36e_rapport_annuel_2015.pdf