CNIL, Délibération de la formation restreinte n° SAN-2018-001 du 8 janvier 2018

January 31, 2018

 

La CNIL condamne DARTY à une sanction pécuniaire de 100.000 euros pour atteinte à la sécurité des données clients 

Faits

 

En mars 2017, la CNIL effectue un contrôle des systèmes de traitement de la société DARTY et constate qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par les clients de la société, via un formulaire en ligne de demande de service après-vente.

 

Ainsi, plusieurs centaines de milliers de demandes contenant des données à caractère personnel des clients, à l’instar des noms, prénoms, adresse de messagerie, numéro de téléphone, étaient potentiellement accessibles.

 

La CNIL a alors notifié la violation à la société DARTY. A l’issue de cette notification, DARTY indiquait avoir procédé aux mesures de sécurisation nécessaires et ce, par l’intermédiaire de son prestataire sous-traitant.

 

Pourtant, lors d’un second contrôle, la CNIL a constaté que les fiches des clients étaient toujours accessibles. La CNIL a alors décidé d’engager une procédure de sanction à l’encontre de DARTY pour atteinte à la sécurité des données clients.

 

Solution

 

Le 8 janvier 2018, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société DARTY d’un montant de 100.000 euros, estimant ainsi que la société avait manqué à son obligation de sécurité des données personnelles et ce, en violation de l’article 34 de la loi Informatiques et Libertés.

 

Appréciation

 

Cette délibération de la CNIL souligne le fait qu’un responsable de traitement n’est pas déchargé de ses obligations de sécurité du seul fait de recourir à un prestataire sous-traitant. La CNIL met ainsi en exergue l’importance de déterminer dans le cadre de relations contractuelles, la qualité de chaque intervenant s’agissant du traitement de données personnelles. Les rôles de responsable de traitement et de sous-traitant doivent être préalablement clarifiés. Cette délibération est à mettre en parallèle avec le GDPR qui entrera en vigueur le 25 mai 2018 et qui instaure une forme de « coresponsabilité » entre responsable de traitement et sous-traitant. 

 

Partager sur Facebook
Partager sur Twitter
Please reload

Posts à l'affiche

Un format d’émission de télévision difficilement éligible à la protection du droit d’auteur

July 24, 2018

1/10
Please reload

Posts Récents
Please reload

Archives