webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Manquement à l'obligation de sécurité des données personnelles : la CNIL n'a pas fini de sanctionner !

Délibération SAN-2017-010 du 18 juillet 2017

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL, selon délibération de sa formation restreinte n° SAN-2017-010 du 18 juillet 2017, a eu l’occasion de prononcer à l’encontre de la société HERTZ France une sanction pécuniaire de 40 000 € après avoir constaté qu’elle avait failli à l’obligation de protection des données à caractère personnel susvisée.

Dans cette affaire, la société HERTZ France, laquelle avait créé un site internet www.cartereduction-hertz.com en 2011 afin de proposer des réductions sur les locations de véhicules, a été avisée par la CNIL de l’existence d’une violation des données à caractère personnel sur ledit site, en octobre 2016 (quelques jours après l’entrée en vigueur de la Loi Axelle Lemaire n° 2016-1321 du 7 octobre 2016, laquelle a multiplié par vingt le montant de l’amende en cas de manquement par le responsable de traitement à ses obligations passant ainsi de 150 000 € à 3 000 000 €, et supprimé l’exigence de mise en demeure préalable).

A l’occasion de la première vérification en ligne, la CNIL a constaté que l’insuffisance des mesures de sécurité et de confidentialité des données des adhérents au programme de réduction étaient telles que la simple modification dans l’URL de la variable correspondant à l’identifiant d’un utilisateur avait permis d’accéder aux données personnelles de 35 327 personnes (nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique, et numéro de permis de conduire).

L’instruction a mis à jour que le sous-traitant de la société HERTZ France, à qui le développement dudit site avait été confié, avait supprimé par erreur une ligne de code lors du remplacement d’un des serveurs en juin 2016.
Il incombait alors à la CNIL de déterminer si la société HERTZ France avait manqué à son obligation de mettre en œuvre les moyens propres à assurer la sécurité des données à caractère personnel qu’elle est amenée à traiter (art. 34 Loi Inf. et Lib).

Alors même qu’il était parfaitement établi que l’erreur était imputable au sous-traitant, lequel avait effacé involontairement une ligne de code, la CNIL a considéré que la société HERTZ France avait failli à son obligation de sécurité, et l’a condamnée au règlement d’une amende administrative de 40 000 €.

Pour ce faire, elle a retenu à l’encontre de la société HERTZ France « une négligence[…] dans la surveillance des actions de son sous-traitant », aux motifs qu’elle n’avait pas remis en son temps de cahier des charges au prestataire s’agissant du développement du site, et qu’elle n’avait pas mis en œuvre une procédure de test complet à l’issue des opérations de changement de serveur, qui requéraient une attention particulière, comme étant liées au service de paiement en ligne.

La CNIL a déduit de ces abstentions que la société HERTZ France n’avait pas pris toutes les précautions utiles permettant d’empêcher l’accès aux données par des tiers non autorisés.

Cependant, la CNIL a retenu que la société HERTZ France avait fait preuve d’une grande réactivité dès qu’elle avait eu connaissance de l’incident de sécurité, de telle sorte que la violation des données avait cessé à très bref délai ; et qu’elle avait immédiatement pris l’initiative de faire réaliser un audit de sécurité du sous-traitant.

Il n’a également pas échappé à la CNIL que la violation était due à une erreur humaine, malheureusement irrésistible et imprévisible, et que l’atteinte à la vie privée des personnes concernées avait été relativement limitée puisqu’aucune extraction massive de données n’avait été déplorée.

Cette décision mérite qu’on s’y intéresse à plusieurs égards, et à la lumière du Règlement Général sur la Protection des Données dont l’application est imminente.

Tout d’abord, elle a été l’occasion pour la CNIL d’appliquer la Loi Informatique et Libertés modifiée par la Loi Axelle Lemaire, et de prononcer sans mise en demeure préalable une sanction pécuniaire à l’encontre du responsable de traitement ayant failli à ses obligations, et ce, dès son entrée en vigueur.

L’on retiendra donc le caractère prompt de la CNIL à faire une application rigoureuse de la loi nouvelle plus sévère.

Il y a donc tout lieu de s’inquiéter des décisions à venir avec l’entrée en application du RGPD le 25 mai 2018, portant les sanctions pécuniaires de 2% du chiffre d’affaires annuel mondial, ou 10 millions d’euros en cas de manquement à l’obligation de sécurité du traitement (art. 83-4 et 32 du RGPD).

Ensuite, la CNIL rappelle, à la faveur de cette décision, le principe selon lequel les obligations découlant de la Loi Informatique et Libertés actuellement en vigueur pèsent sur le seul responsable de traitement.

Mais le répit pour le sous-traitant, dans de telles hypothèses où la violation des données lui est en réalité imputable, ne sera que de courte durée.

En effet, le RGPD instaure un régime de responsabilité directe du sous-traitant qui a manqué aux obligations lui incombant dans le cadre de traitement de données personnelles, et même de responsabilité solidaire avec le responsable de traitement dans certaines hypothèses.

Enfin, il ressort de cette délibération que la CNIL tient compte, dans l’évaluation de la sanction, de nombreux éléments tels que :

  • la nature, la gravité et la durée de la violation, ainsi que le nombre de personnes concernées ;
  • le fait que la violation a été commise involontairement ;
  • l’ensemble des mesures prises par le responsable de traitement dès qu’il a été avisé de l’incident ;
  • le degré de coopération du responsable de traitement avec l’autorité de contrôle.

Autant d’éléments expressément visés dans l’article 83 du RGPD.

Nul doute que si l’autorité de contrôle est susceptible de prononcer des amendes administratives allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (art. 83-5 RGPD), elle veillera à ce que les sanctions prononcées, si dissuasives soient-elles, restent proportionnées.

VOIR AUSSI

Incidence de la connaissance d’une marque sur le marché pour sa défense

Cass. com., 30 mai 2018, n°16-22.994

- Vu : 1994

La connaissance de la marque sur le marché est un facteur pertinent de l'appréciation du risque de confusion, en ce qu'elle confère à cette marque un caractère distinctif élevé et lui ouvre une protection étendue.

> Lire la suite

La preuve de l’usage sérieux de la marque pour éviter la déchéance

Cass. com., 15 septembre 2015, pourvoi n°14-19.497

- Vu : 5018

Pour rapporter la preuve d’un usage sérieux de la marque permettant d’éviter le prononcé de la déchéance, il faut rassembler des éléments tangibles sur ses conditions d’exploitation et le contact avec la clientèle.

> Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 105531
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 87847
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
L'efficacité des pactes d'actionnaires
1 décembre 2008 - Vu : 43613
Stabilité du capital et de l’actionnariat, contrôle de l’entreprise ou des modalités de son transmission, tels sont les ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 43226
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©