Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

Fuite de données personnelles: il est indifférent que les personnes impactées n’aient pas subi de préjudice

[:fr]

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

[:en]

Dans une délibération du 26 avril 2016, la CNIL a sanctionné la société RICARD pour défaut de sécurité de ses données clients (avertissement public).

Pour mémoire, la CNIL dispose depuis mars 2014 d’un pouvoir de constatation en ligne prévu à l’article 44 de la loi Informatique et Libertés. C’est à l’occasion d’un contrôle en ligne du site internet de la société RICARD que la CNIL a constaté que plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients étaient accessibles. Trois mois plus tard, malgré la notification que lui avait fait parvenir la CNIL, les agents assermentés ont constaté que la faille n’avait pas été corrigée sur le site.

La formation restreinte de la CNIL a estimé que la société n’avait pas pris toute mesure utile de nature à garantir la sécurité et la confidentialité des données collectées ce que la société contestait affirmant avoir eu recours à des professionnels reconnus dans le secteur de l’hébergement de son site web et de la gestion de son contenu. La CNIL rappelle à nouveau, au visa de l’article 35 de la loi Informatique et Libertés, que « l’existence d’une relation de sous-traitance n’est pas de nature à exonérer le responsable de traitement de ses obligations au regard des données collectées et traitées pour son compte ».

La société a également tenté de s’exonérer de sa responsabilité en arguant qu’aucune des personnes impactées par les fuites de données n’avait subi de préjudice, argument que la CNIL a rejeté, le manquement étant caractérisé.

https://www.cnil.fr/fr/la-societe-ricard-sanctionnee-pour-defaut-de-securite-des-donnees-de-ses-clients

https://www.cnil.fr/sites/default/files/atoms/files/deliberation-formation-restreinte-avertissment-public-ricard_ananonymisee.pdf

[:]

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

[:fr]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:en]

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

[:]

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

[:fr]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER.

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf[:en]

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf

 [:]