• Données personnelles

    par , Avocat associé
    par , Avocat

    La Cnil sanctionne la société Ricard pour défaut de sécurité des données

    Les menaces pesant sur les systèmes d’information incluent la fraude informatique, le détournement de finalité, la captation frauduleuse, la perte de données, le vandalisme, ou encore les sinistres les plus fréquents, tels que l’incendie ou l’inondation[1]. Dans le but de prévenir ce type de menace, tout responsable de traitement est tenu d’une obligation de sécurité au regard de l’article 34 de la loi informatique et libertés. Ce devoir imposé par la loi peut faire l’objet d’un contrôle par la CNIL. C’est dans ce cadre que la  commission a procédé le 9 juillet 2015 à une vérification en ligne du site www.ricard.com.

    LES FAITS

    A cette occasion, les agents de la CNIL ont pu consulter les informations contenues dans un fichier « Robots.txt » du site web. Ce fichier permet d’indiquer aux robots des moteurs de recherche les pages du site à exclure de l’indexation à laquelle ils procèdent sur le site internet.

    Les agents de la Cnil ont pu constater lors de ce contrôle que certaines ressources, bien qu’exclues de l’indexation étaient facilement accessibles et téléchargeables car aucune mesure de sécurité adéquate n’avait été mise en place par la société Ricard. Les agents sont ainsi parvenus à télécharger des fichiers contenant des données à caractère personnel des clients de la société Ricard.

    Informée de de cette faille de sécurité, la société a indiqué avoir fait le nécessaire auprès de son sous-traitant pour corriger cette insuffisance de sécurité.

    A l’issue, de ce premier contrôle, la CNIL a effectué un second contrôle sur le site web de la société. En dépit des mesures de sécurité qui avaient été prises après le premier contrôle, les agents de la Cnil ont pu accéder à des fichiers contenant des données nominatives, notamment des données relatives aux cartes bancaires[2] des internautes.

    Au vu de ces nouvelles constatations, la présidente de la Cnil a décidé d’engager une procédure de sanction à l’encontre de la société. La Cnil reproche essentiellement à la société d’avoir manqué à son obligation de veiller à la sécurité et à la confidentialité des données à caractère personnel des internautes inscrits sur son site web. La société Ricard a réagi en proposant une série de mesures destinées à remédier aux défaillances.

    LA SANCTION

    Néanmons, à titre de sanction, la formation restreinte de la Cnil a prononcé un avertissement public « justifié par le nombre et la nature des données concernées par la faille de sécurité, la nécessité de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données à caractère personnel et par la persistance du manquement malgré l’alerte de la commission ».

    LES APPORTS DE CETTE DECISION :

    1° Le recours à un sous-traitant, professionnel du secteur n’est pas de nature à exonérer le responsable du traitement de ses obligations de sécurité au regard des données collectées et traitées pour son compte.

    2° L’établissement d’un manquement à la loi informatique et libertés n’est pas subordonné à la démonstration d’un accès non autorisé dans le système ni à la démonstration d’un quelconque préjudice pour les personnes concernées par la faille de sécurité[3]. Il suffit que l’accès soit rendu possible pour les tiers pour caractériser le manquement.

    3° Dès lors que le manquement à l’obligation de sécurité est caractérisé, la formation restreinte de la Cnil peut décider de sanctionner malgré les engagements du responsable du traitement pour y mettre fin

    EN PRATIQUE

    Pour éviter ce type de sanctions, un audit de sécurité du site internet, réalisé par un prestataire informatique est un bon moyen de détecter les éventuelles failles de sécurité.

    Nick NZENGOLO

    Juriste

    Pour lire la décision cliquez ici.

    [1] Guide de la sécurité des données personnelles, édition 2010

    [2] La CNIL exige à ce sujet que les données bancaires soient cryptées par l’intermédiaire d’un algorithme de chiffrement dit « fort »

    [3] A ce sujet, la société Ricard soutenait qu’aucun préjudice n’avait été subi par les personnes impactées par cette fuite de données

    #cnil#sanction