Défaut de sécurité : avertissement public de la société RICARD !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le contrôle en ligne s’est déroulé le 9 juillet 2015 et a donné lieu à constatation d’un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données personnelles. Le manquement étant caractérisé, la CNIL a prononcé un avertissement public à l’encontre de la société RICARD, notamment dans un but de sensibilisation des responsables de traitement à leur obligation de sécurité.
 

1. Les faits et la décision

En navigant sur le site internet de la société RICARD, la délégation de contrôle de la CNIL est parvenue à consulter les informations contenues dans le fichier « robots.txt », qui permet de signaler aux robots d’indexation des moteurs de recherches quelles pages d’un site internet peuvent être indexées et lesquelles doivent être exclues.

Si des ressources contenant des données à caractère personnel étaient bien exclues de l’indexation, elles étaient néanmoins librement accessibles en renseignant dans l’URL du navigateur, le nom du répertoire à la suite de l’adresse du site internet.

C’est ainsi que la CNIL a été en mesure de télécharger des milliers de fichiers contenant des données à caractère personnel des clients de la société.

Suite à l’alerte donnée par la CNIL, la société a indiqué avoir pris, par l’intermédiaire de son hébergeur, toutes les mesures nécessaires pour bloquer l’accès aux données.

La CNIL a réalisé un second contrôle quatre mois plus tard afin de s’assurer que la société avait remédié à son défaut de sécurité et que les mesures prises ont été suffisantes.

A l’occasion de cette nouvelle vérification en ligne, la CNIL a constaté que des données à caractère personnel étaient toujours accessibles en renseignant manuellement l’adresse du répertoire qui les contient.

Compte tenu de la persistance de la fuite des données, une procédure de sanction a été engagée au terme de laquelle le manquement à l’obligation de veiller à la sécurité et à la confidentialité des données, en application de l’article 34 de la loi informatique et libertés, donnant lieu au prononcé d’un avertissement public de la société RICARD.
 

2. Ce qu’il faut en retenir

Cette décision est intéressante car elle prodigue trois enseignements :

  • Premièrement, même en l’absence de plainte ou d’incident de sécurité, la CNIL peut diligenter une enquête et constater un manquement à l’obligation de sécurité, celui-ci étant constitué par l’absence de mise en œuvre de mesures de sécurité ;
     
  • Deuxièmement, le manquement à l’obligation de sécurité est caractérisé quand-bien même aucun préjudice n’a été subi par les personnes impactées. La commission précise même que cette « circonstance est sans influence » sur la caractérisation d’un manquement ;
     
  • Troisièmement, le recours à un sous-traitant, notamment pour l’hébergement et la gestion du site Web, qualifié et reconnu n’est, ni de nature à exonérer le responsable de traitement de ses obligations de sécurité, ni assimilé à une mesure de protection et de sécurisation des données.
     

3. Comment se prémunir contre une telle sanction?

Le nouveau règlement européen relatif à la protection des données personnelles prévoit un nouveau mécanisme de mise en œuvre de la responsabilité des différents acteurs d’un traitement de données et notamment une responsabilité direct du sous-traitant.

A ce titre, il pourrait être opportun pour un responsable de traitement de prévoir un partage de responsabilité  avec son sous-traitant en cas de faille de sécurité.

Ainsi, la redéfinition par voie contractuelle des rôles respectifs de chacun, notamment dans la définition des mesures de sécurité à mettre en place, pourrait permettre au responsable d’un traitement de s’exonérer de sa responsabilité ou du moins de la partager avec son sous-traitant.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.