webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Défaut de sécurité : avertissement public de la société RICARD !

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le contrôle en ligne s’est déroulé le 9 juillet 2015 et a donné lieu à constatation d’un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données personnelles. Le manquement étant caractérisé, la CNIL a prononcé un avertissement public à l’encontre de la société RICARD, notamment dans un but de sensibilisation des responsables de traitement à leur obligation de sécurité.
 

1. Les faits et la décision

En navigant sur le site internet de la société RICARD, la délégation de contrôle de la CNIL est parvenue à consulter les informations contenues dans le fichier « robots.txt », qui permet de signaler aux robots d’indexation des moteurs de recherches quelles pages d’un site internet peuvent être indexées et lesquelles doivent être exclues.

Si des ressources contenant des données à caractère personnel étaient bien exclues de l’indexation, elles étaient néanmoins librement accessibles en renseignant dans l’URL du navigateur, le nom du répertoire à la suite de l’adresse du site internet.

C’est ainsi que la CNIL a été en mesure de télécharger des milliers de fichiers contenant des données à caractère personnel des clients de la société.

Suite à l’alerte donnée par la CNIL, la société a indiqué avoir pris, par l’intermédiaire de son hébergeur, toutes les mesures nécessaires pour bloquer l’accès aux données.

La CNIL a réalisé un second contrôle quatre mois plus tard afin de s’assurer que la société avait remédié à son défaut de sécurité et que les mesures prises ont été suffisantes.

A l’occasion de cette nouvelle vérification en ligne, la CNIL a constaté que des données à caractère personnel étaient toujours accessibles en renseignant manuellement l’adresse du répertoire qui les contient.

Compte tenu de la persistance de la fuite des données, une procédure de sanction a été engagée au terme de laquelle le manquement à l’obligation de veiller à la sécurité et à la confidentialité des données, en application de l’article 34 de la loi informatique et libertés, donnant lieu au prononcé d’un avertissement public de la société RICARD.
 

2. Ce qu’il faut en retenir

Cette décision est intéressante car elle prodigue trois enseignements :

  • Premièrement, même en l’absence de plainte ou d’incident de sécurité, la CNIL peut diligenter une enquête et constater un manquement à l’obligation de sécurité, celui-ci étant constitué par l’absence de mise en œuvre de mesures de sécurité ;
     
  • Deuxièmement, le manquement à l’obligation de sécurité est caractérisé quand-bien même aucun préjudice n’a été subi par les personnes impactées. La commission précise même que cette « circonstance est sans influence » sur la caractérisation d’un manquement ;
     
  • Troisièmement, le recours à un sous-traitant, notamment pour l’hébergement et la gestion du site Web, qualifié et reconnu n’est, ni de nature à exonérer le responsable de traitement de ses obligations de sécurité, ni assimilé à une mesure de protection et de sécurisation des données.
     

3. Comment se prémunir contre une telle sanction?

Le nouveau règlement européen relatif à la protection des données personnelles prévoit un nouveau mécanisme de mise en œuvre de la responsabilité des différents acteurs d’un traitement de données et notamment une responsabilité direct du sous-traitant.

A ce titre, il pourrait être opportun pour un responsable de traitement de prévoir un partage de responsabilité  avec son sous-traitant en cas de faille de sécurité.

Ainsi, la redéfinition par voie contractuelle des rôles respectifs de chacun, notamment dans la définition des mesures de sécurité à mettre en place, pourrait permettre au responsable d’un traitement de s’exonérer de sa responsabilité ou du moins de la partager avec son sous-traitant.

VOIR AUSSI

La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

- Vu : 1293

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.

> Lire la suite

Entrée en vigueur du Règlement Général sur la Protection des Données le 24 mai 2018

Règlement CE 2016/679

- Vu : 801

Le Règlement Général sur la Protection des Données (ci-après RGPD) réforme la gestion des données personnelles au niveau européen...

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©