Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.
Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.
Le contrôle en ligne s’est déroulé le 9 juillet 2015 et a donné lieu à constatation d’un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données personnelles. Le manquement étant caractérisé, la CNIL a prononcé un avertissement public à l’encontre de la société RICARD, notamment dans un but de sensibilisation des responsables de traitement à leur obligation de sécurité.
1. Les faits et la décision
En navigant sur le site internet de la société RICARD, la délégation de contrôle de la CNIL est parvenue à consulter les informations contenues dans le fichier « robots.txt », qui permet de signaler aux robots d’indexation des moteurs de recherches quelles pages d’un site internet peuvent être indexées et lesquelles doivent être exclues.
Si des ressources contenant des données à caractère personnel étaient bien exclues de l’indexation, elles étaient néanmoins librement accessibles en renseignant dans l’URL du navigateur, le nom du répertoire à la suite de l’adresse du site internet.
C’est ainsi que la CNIL a été en mesure de télécharger des milliers de fichiers contenant des données à caractère personnel des clients de la société.
Suite à l’alerte donnée par la CNIL, la société a indiqué avoir pris, par l’intermédiaire de son hébergeur, toutes les mesures nécessaires pour bloquer l’accès aux données.
La CNIL a réalisé un second contrôle quatre mois plus tard afin de s’assurer que la société avait remédié à son défaut de sécurité et que les mesures prises ont été suffisantes.
A l’occasion de cette nouvelle vérification en ligne, la CNIL a constaté que des données à caractère personnel étaient toujours accessibles en renseignant manuellement l’adresse du répertoire qui les contient.
Compte tenu de la persistance de la fuite des données, une procédure de sanction a été engagée au terme de laquelle le manquement à l’obligation de veiller à la sécurité et à la confidentialité des données, en application de l’article 34 de la loi informatique et libertés, donnant lieu au prononcé d’un avertissement public de la société RICARD.
2. Ce qu’il faut en retenir
Cette décision est intéressante car elle prodigue trois enseignements :
- Premièrement, même en l’absence de plainte ou d’incident de sécurité, la CNIL peut diligenter une enquête et constater un manquement à l’obligation de sécurité, celui-ci étant constitué par l’absence de mise en œuvre de mesures de sécurité ;
- Deuxièmement, le manquement à l’obligation de sécurité est caractérisé quand-bien même aucun préjudice n’a été subi par les personnes impactées. La commission précise même que cette « circonstance est sans influence » sur la caractérisation d’un manquement ;
- Troisièmement, le recours à un sous-traitant, notamment pour l’hébergement et la gestion du site Web, qualifié et reconnu n’est, ni de nature à exonérer le responsable de traitement de ses obligations de sécurité, ni assimilé à une mesure de protection et de sécurisation des données.
3. Comment se prémunir contre une telle sanction?
Le nouveau règlement européen relatif à la protection des données personnelles prévoit un nouveau mécanisme de mise en œuvre de la responsabilité des différents acteurs d’un traitement de données et notamment une responsabilité direct du sous-traitant.
A ce titre, il pourrait être opportun pour un responsable de traitement de prévoir un partage de responsabilité avec son sous-traitant en cas de faille de sécurité.
Ainsi, la redéfinition par voie contractuelle des rôles respectifs de chacun, notamment dans la définition des mesures de sécurité à mettre en place, pourrait permettre au responsable d’un traitement de s’exonérer de sa responsabilité ou du moins de la partager avec son sous-traitant.
2917 vues 
