webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Défaut de sécurité : avertissement public de la société RICARD !

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le contrôle en ligne s’est déroulé le 9 juillet 2015 et a donné lieu à constatation d’un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données personnelles. Le manquement étant caractérisé, la CNIL a prononcé un avertissement public à l’encontre de la société RICARD, notamment dans un but de sensibilisation des responsables de traitement à leur obligation de sécurité.
 

1. Les faits et la décision

En navigant sur le site internet de la société RICARD, la délégation de contrôle de la CNIL est parvenue à consulter les informations contenues dans le fichier « robots.txt », qui permet de signaler aux robots d’indexation des moteurs de recherches quelles pages d’un site internet peuvent être indexées et lesquelles doivent être exclues.

Si des ressources contenant des données à caractère personnel étaient bien exclues de l’indexation, elles étaient néanmoins librement accessibles en renseignant dans l’URL du navigateur, le nom du répertoire à la suite de l’adresse du site internet.

C’est ainsi que la CNIL a été en mesure de télécharger des milliers de fichiers contenant des données à caractère personnel des clients de la société.

Suite à l’alerte donnée par la CNIL, la société a indiqué avoir pris, par l’intermédiaire de son hébergeur, toutes les mesures nécessaires pour bloquer l’accès aux données.

La CNIL a réalisé un second contrôle quatre mois plus tard afin de s’assurer que la société avait remédié à son défaut de sécurité et que les mesures prises ont été suffisantes.

A l’occasion de cette nouvelle vérification en ligne, la CNIL a constaté que des données à caractère personnel étaient toujours accessibles en renseignant manuellement l’adresse du répertoire qui les contient.

Compte tenu de la persistance de la fuite des données, une procédure de sanction a été engagée au terme de laquelle le manquement à l’obligation de veiller à la sécurité et à la confidentialité des données, en application de l’article 34 de la loi informatique et libertés, donnant lieu au prononcé d’un avertissement public de la société RICARD.
 

2. Ce qu’il faut en retenir

Cette décision est intéressante car elle prodigue trois enseignements :

  • Premièrement, même en l’absence de plainte ou d’incident de sécurité, la CNIL peut diligenter une enquête et constater un manquement à l’obligation de sécurité, celui-ci étant constitué par l’absence de mise en œuvre de mesures de sécurité ;
     
  • Deuxièmement, le manquement à l’obligation de sécurité est caractérisé quand-bien même aucun préjudice n’a été subi par les personnes impactées. La commission précise même que cette « circonstance est sans influence » sur la caractérisation d’un manquement ;
     
  • Troisièmement, le recours à un sous-traitant, notamment pour l’hébergement et la gestion du site Web, qualifié et reconnu n’est, ni de nature à exonérer le responsable de traitement de ses obligations de sécurité, ni assimilé à une mesure de protection et de sécurisation des données.
     

3. Comment se prémunir contre une telle sanction?

Le nouveau règlement européen relatif à la protection des données personnelles prévoit un nouveau mécanisme de mise en œuvre de la responsabilité des différents acteurs d’un traitement de données et notamment une responsabilité direct du sous-traitant.

A ce titre, il pourrait être opportun pour un responsable de traitement de prévoir un partage de responsabilité  avec son sous-traitant en cas de faille de sécurité.

Ainsi, la redéfinition par voie contractuelle des rôles respectifs de chacun, notamment dans la définition des mesures de sécurité à mettre en place, pourrait permettre au responsable d’un traitement de s’exonérer de sa responsabilité ou du moins de la partager avec son sous-traitant.

VOIR AUSSI

Preuve de la contrefaçon : le glas des constats d’achat ?

Cass. com., 25 janvier 2017, n°15-25.210, Publié au Bulletin

- Vu : 4583

Lors d’un constat d’achat, le tiers qui procède à l’achat doit être indépendant de la partie requérante.

> Lire la suite

Les formalités auprès de l’INPI liées à la cession d’une marque sont essentielles

CA Paris, 30 juin 2015, RG n°14/03937

- Vu : 6189
De l’enjeu des formalités post-cession de marque : être titulaire d’une marque est une chose, pouvoir s’en prévaloir une autre. > Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 97214
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 86361
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 40856
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 40437
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©