webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Manquement à l'obligation de sécurité des données personnelles : la CNIL n'a pas fini de sanctionner !

Délibération SAN-2017-010 du 18 juillet 2017

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La CNIL, selon délibération de sa formation restreinte n° SAN-2017-010 du 18 juillet 2017, a eu l’occasion de prononcer à l’encontre de la société HERTZ France une sanction pécuniaire de 40 000 € après avoir constaté qu’elle avait failli à l’obligation de protection des données à caractère personnel susvisée.

Dans cette affaire, la société HERTZ France, laquelle avait créé un site internet www.cartereduction-hertz.com en 2011 afin de proposer des réductions sur les locations de véhicules, a été avisée par la CNIL de l’existence d’une violation des données à caractère personnel sur ledit site, en octobre 2016 (quelques jours après l’entrée en vigueur de la Loi Axelle Lemaire n° 2016-1321 du 7 octobre 2016, laquelle a multiplié par vingt le montant de l’amende en cas de manquement par le responsable de traitement à ses obligations passant ainsi de 150 000 € à 3 000 000 €, et supprimé l’exigence de mise en demeure préalable).

A l’occasion de la première vérification en ligne, la CNIL a constaté que l’insuffisance des mesures de sécurité et de confidentialité des données des adhérents au programme de réduction étaient telles que la simple modification dans l’URL de la variable correspondant à l’identifiant d’un utilisateur avait permis d’accéder aux données personnelles de 35 327 personnes (nom, prénom, date de naissance, adresse postale, adresse de messagerie électronique, et numéro de permis de conduire).

L’instruction a mis à jour que le sous-traitant de la société HERTZ France, à qui le développement dudit site avait été confié, avait supprimé par erreur une ligne de code lors du remplacement d’un des serveurs en juin 2016.
Il incombait alors à la CNIL de déterminer si la société HERTZ France avait manqué à son obligation de mettre en œuvre les moyens propres à assurer la sécurité des données à caractère personnel qu’elle est amenée à traiter (art. 34 Loi Inf. et Lib).

Alors même qu’il était parfaitement établi que l’erreur était imputable au sous-traitant, lequel avait effacé involontairement une ligne de code, la CNIL a considéré que la société HERTZ France avait failli à son obligation de sécurité, et l’a condamnée au règlement d’une amende administrative de 40 000 €.

Pour ce faire, elle a retenu à l’encontre de la société HERTZ France « une négligence[…] dans la surveillance des actions de son sous-traitant », aux motifs qu’elle n’avait pas remis en son temps de cahier des charges au prestataire s’agissant du développement du site, et qu’elle n’avait pas mis en œuvre une procédure de test complet à l’issue des opérations de changement de serveur, qui requéraient une attention particulière, comme étant liées au service de paiement en ligne.

La CNIL a déduit de ces abstentions que la société HERTZ France n’avait pas pris toutes les précautions utiles permettant d’empêcher l’accès aux données par des tiers non autorisés.

Cependant, la CNIL a retenu que la société HERTZ France avait fait preuve d’une grande réactivité dès qu’elle avait eu connaissance de l’incident de sécurité, de telle sorte que la violation des données avait cessé à très bref délai ; et qu’elle avait immédiatement pris l’initiative de faire réaliser un audit de sécurité du sous-traitant.

Il n’a également pas échappé à la CNIL que la violation était due à une erreur humaine, malheureusement irrésistible et imprévisible, et que l’atteinte à la vie privée des personnes concernées avait été relativement limitée puisqu’aucune extraction massive de données n’avait été déplorée.

Cette décision mérite qu’on s’y intéresse à plusieurs égards, et à la lumière du Règlement Général sur la Protection des Données dont l’application est imminente.

Tout d’abord, elle a été l’occasion pour la CNIL d’appliquer la Loi Informatique et Libertés modifiée par la Loi Axelle Lemaire, et de prononcer sans mise en demeure préalable une sanction pécuniaire à l’encontre du responsable de traitement ayant failli à ses obligations, et ce, dès son entrée en vigueur.

L’on retiendra donc le caractère prompt de la CNIL à faire une application rigoureuse de la loi nouvelle plus sévère.

Il y a donc tout lieu de s’inquiéter des décisions à venir avec l’entrée en application du RGPD le 25 mai 2018, portant les sanctions pécuniaires de 2% du chiffre d’affaires annuel mondial, ou 10 millions d’euros en cas de manquement à l’obligation de sécurité du traitement (art. 83-4 et 32 du RGPD).

Ensuite, la CNIL rappelle, à la faveur de cette décision, le principe selon lequel les obligations découlant de la Loi Informatique et Libertés actuellement en vigueur pèsent sur le seul responsable de traitement.

Mais le répit pour le sous-traitant, dans de telles hypothèses où la violation des données lui est en réalité imputable, ne sera que de courte durée.

En effet, le RGPD instaure un régime de responsabilité directe du sous-traitant qui a manqué aux obligations lui incombant dans le cadre de traitement de données personnelles, et même de responsabilité solidaire avec le responsable de traitement dans certaines hypothèses.

Enfin, il ressort de cette délibération que la CNIL tient compte, dans l’évaluation de la sanction, de nombreux éléments tels que :

  • la nature, la gravité et la durée de la violation, ainsi que le nombre de personnes concernées ;
  • le fait que la violation a été commise involontairement ;
  • l’ensemble des mesures prises par le responsable de traitement dès qu’il a été avisé de l’incident ;
  • le degré de coopération du responsable de traitement avec l’autorité de contrôle.

Autant d’éléments expressément visés dans l’article 83 du RGPD.

Nul doute que si l’autorité de contrôle est susceptible de prononcer des amendes administratives allant jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros (art. 83-5 RGPD), elle veillera à ce que les sanctions prononcées, si dissuasives soient-elles, restent proportionnées.

VOIR AUSSI

La CNIL publie la liste des traitements de données personnelles soumis à analyse d’impact

Délibération n°2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d'impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

- Vu : 552

La CNIL a fait la liste des traitements de données personnelles qui seront soumis à une analyse d’impact préalable en respect des dispositions du RGPD.

> Lire la suite

Webinar : RGPD et Gouvernance - 2 et 3 juillet 2018 - Live

Comment piloter sa conformité dans le temps ?

- Vu : 400

SIMON ASSOCIÉS et VISIATIV organisent un webinaire sur la mise en conformité avec le RGPD et vous proposent 2 dates afin de pouvoir correspondre au mieux avec votre agenda.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 2652
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 2428
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 2285
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1398
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©