La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La CNIL prononce une sanction de 100.000 euros à l’encontre de DARTY pour défaut de sécurité des données de ses clients dans le cadre du SAV

La formation restreinte de la CNIL a prononcé, le 8 janvier 2018, une sanction de 100 000 euros à l’encontre de la société DARTY pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente (article 34 de la Loi Informatique et Libertés).

Lors d’un contrôle en ligne réalisé en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente. Plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles. Bien que la faille ait été notifiée à la société, celle-ci n’était toujours pas corrigée lors du contrôle sur place réalisé quinze jours plus tard par la CNIL.

La CNIL a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.

La CNIL vient préciser les obligations du responsable de traitement en matière de sécurisation des données personnelles. Afin de se conformer à ses obligations au titre de l’article 34 de la Loi Informatique et Libertés, le responsable de traitement doit, d’une part, procéder à des tests de vulnérabilité de ses outils et, d’autre part, désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.

La CNIL estime qu’en l’espèce, la société aurait dû s’assurer préalablement que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients.

Par ailleurs, la société aurait dû, en sa qualité de responsable de traitement, procéder de façon régulière à la revue des formulaires permettant d’alimenter l’outil de gestion des demandes de service après-vente.

 

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000036403140&fastReqId=306045536&fastPos=1

La résiliation du contrat de prestations de développement d’un site internet aux torts du client trop exigeant (CA Grenoble 6 juillet 2017)

La résiliation du contrat de prestations de développement d’un site internet aux torts du client trop exigeant (CA Grenoble 6 juillet 2017)

Etre exigeant oui, demander à  modifier 24 fois la maquette de la page d’accueil, non! La Cour d’appel de Grenoble a rendu, le 6 juillet 2017, une décision peu commune puisqu’elle a condamné un client pour avoir été trop exigeant avec son prestataire.

Dans cette affaire, une société a fait appel à un prestataire afin d’améliorer son site internet et ainsi développer son activité.

Le client, estimant que le site commandé n’a finalement jamais été achevé car comportant de nombreux dysfonctionnements, a assigné la société développeuse devant le Tribunal de commerce de Grenoble aux fins d’obtenir la résolution du contrat et le remboursement de l’acompte versé.

Les juges du Tribunal de commerce ont rejeté ses demandes et ont prononcé la résiliation du contrat aux torts exclusifs de la société demanderesse. Les juges ont également condamné la société cliente à payer à son prestataire les factures impayées ainsi que la somme de 10 000 euros à titre de dommages et intérêts outre celle de 2 000 euros au titre de l’article 700 du code de procédure civile.

Le client a interjeté appel du jugement devant la Cour d’appel de Grenoble aux motifs que la société prestataire aurait manqué à ses obligations de conseil, de respect des délais et de délivrance conforme du site pour lequel elle avait conclu un contrat.

La Cour d’appel déboute la société cliente de ses demandes considérant que « les retards quant à la réalisation du site sont imputables à la société appelante compte tenu, et pour chacune des phases, de ses nombreuses demandes de modifications ».  Ces nombreuses interventions et modifications (24 versions de la maquette de la page d’accueil), à  la demande du client, ont généré une surcharge de travail au prestataire, ce qui justifie la condamnation du client au paiement de 10.000 euros de dommages et intérêts.

Cette décision rappelle que si le prestataire est soumis à une obligation de conseil et de diligence dans l’exécution de ses obligations, notamment, en terme de respect des délais de livraison, il appartient également au client de collaborer pleinement à la réalisation du projet.

Cette décision met en exergue l’importance, pour le prestataire, de calibrer soigneusement son offre de services mais également d’encadrer les relations contractuelles par un contrat précisant les obligations du client et notamment une obligation de définir précisément ses besoins et de collaborer.

Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017

https://www.legalis.net/jurisprudences/cour-dappel-de-grenoble-ch-cciale-arret-du-6-juillet-2017/

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Quelles obligations du responsable de traitement de données personnelles en cas de sous-traitance ? Focus sur l’obligation de sécurité

Le Conseil d’Etat a confirmé, dans une décision du 30 décembre 2015, la délibération de sanction d’Orange par la CNIL pour manquement à ses obligations de sécurité dans le cadre de ses relations avec ses sous-traitants en date du 7 août 2014.

On se souvient qu’en avril 2014, à la suite d’une intrusion illicite sur le serveur d’un sous-traitant de Gutenberg, le prestataire d’emailing d’Orange, 1,3 million de données personnelles d’abonnés ou de prospects d’Orange avaient fuité. Conformément à ses obligations d’opérateur télécom, Orange avait notifié l’incident à la CNIL, laquelle avait procédé à un contrôle dans les locaux de la société Orange et de ses prestataires. A l’issue de la procédure, la formation restreinte de la CNIL avait estimé que la société avait manqué à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel de ses clients prévue par l’article 34 de la loi dite Informatique et Libertés et avait prononcé à son encontre un avertissement public, décision que le Conseil d’Etat a donc confirmé.

Dans sa décision du 30 décembre 2015, le Conseil d’Etat rappelle l’obligation de sécurité des données à la charge du responsable de traitement y compris lorsque les données sont confiées à des sous-traitants (art. 34 de la loi du 6 janvier 1978).

Pourtant, en l’espèce, Orange avait introduit une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants.

Alors quels enseignements retirer de cette décision ?

La responsabilité de la sécurité des données incombe au responsable de traitement, quand bien même celui-ci confierait à un prestataire ou un sous-traitant ses données.

Il ne suffit pas, pour le responsable de traitement, d’introduire une obligation de sécurité dans le contrat à la charge de son prestataire et de ses sous-traitants, encore faut-il « prendre des mesures positives destinées à assurer [soi-même] que la sécurité des données soit préservée ».

En l’espèce, la CNIL a retenu qu’Orange n’avait pas procédé à un audit de sécurité avant d’utiliser la solution technique de son prestataire pour l’envoi de campagnes d’emailing alors que cette mesure lui aurait permis d’identifier ladite faille. La CNIL avait également reproché à Orange d’avoir utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel.

Enfin, le responsable de traitement doit veiller à ce que les consignes de sécurité prévues dans le contrat avec son prestataire soient répercutées au prestataire secondaire.

https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287&fastReqId=693947000&fastPos=2

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

CNIL – Défaut de sécurité et confidentialité des données : sanction pécuniaire de 50.000 € et publicité de la décision (Optical Center)

Fait relativement rare, la CNIL a prononcé le 5 novembre 2015 une sanction de 50.000 € à l’encontre de la société Optical Center considérant que cette dernière n’a pas suffisamment assuré la sécurité et la confidentialité des données de ses clients (170 000 comptes utilisateurs sur le site www.optical-center.fr).

Cette sanction fait suite à une mise en demeure de se mettre en conformité avec la loi dite « Informatique et Libertés » adressée par la CNIL à la société Optical Center en décembre 2014 consécutive à une plainte d’une cliente qui avait donné lieu à un contrôle de la CNIL.

Bien qu’ayant apporté des éléments de réponse attestant d’une mise en conformité partielle, la CNIL a estimé, à la suite d’un nouveau contrôle sur place et d’une audition de la société en février et juin 2015, que les manquements de la société Optical Center persistaient sur deux points :

–          La société n’a pas mis en place les mesures adaptées pour assurer la sécurité et la confidentialité des données de ses clients sur son site internet (absence de sécurisation de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe) et, plus généralement de son système informatique (mots de passe des clients et salariés pas assez robustes, absence de politique de gestion des mots de passe pour l’accès aux postes informatiques des salariés de la société) ;

–          Le contrat signé par la société avec l’un de ses prestataires ne « comportait aucune clause relative à la sécurité et la confidentialité des données » alors que l’article 35 de la loi Informatique et Libertés impose au responsable de traitement de s’assurer que « le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34 [de la loi] ». La CNIL avait enjoint à la société de prévoir une clause définissant les obligations de son prestataire en la matière en précisant que ce prestataire ne pouvait agir que sur son instruction. La société a argué en défense que le contrat prévoyait une clause en la matière mais, après analyse, la CNIL a estimé que cet article « ne comportait aucune indication des obligations incombant au prestataire en matière de protection de la sécurité et de la confidentialité des données des clients de la société ».

Cette décision souligne l’importance d’encadrer strictement et exhaustivement les obligations du sous-traitant en matière de protection de la sécurité et de la confidentialité des données car le responsable du traitement reste le premier responsable en cas de non-respect de ces principes, avec l’image négative qu’une telle décision publique renvoie au grand public.

Délibération n° 2015-379 du 5 novembre 2015 prononçant une sanction pécuniaire publique à l’encontre de la société OPTICAL CENTER.

http://www.cnil.fr/fileadmin/documents/approfondir/deliberations/Formation_contentieuse/2015-379_sanction_OPTICALCENTER.pdf