Après Hertz (40 000 Euros), la CNIL sanctionne DARTY : 100 000 Euros
La Cnil, dans une délibération publiée le 8 janvier 2018 vient d’infliger une amende administrative de 100.000 euros à Darty pour des « manquements à la sécurité et à la confidentialité » des données de ses clients. Une fois encore, comme pour la délibération Hertz, la CNIL a été informée d’un défaut de sécurité par Zataz, a procédé à un contrôle en ligne, et comme pour Hertz l’enseigne paie pour les erreurs de son sous-traitant, qu’elle aurait dû mieux contrôler en sa qualité de responsable du traitement.
Ce qu’il faut retenir de la délibération :
Darty est considéré comme le responsable de traitement et qu’à ce titre, il lui appartient « de s’assurer et de vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par [son sous-traitant] répondaient à l’obligation de confidentialité énoncée à l’article 34 de la loi précitée ».
En effet le contrôle sur place réalisé par la CNIL a révélé que le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par un prestataire commercialisant un logiciel de service après-vente « sur étagère ». Néanmoins lors du contrôle, Darty a indiqué avoir recours à un autre formulaire distinct et ne pas utiliser celui à l’origine de l’incident.
Les vérifications opérées par la CNIL ont pourtant permis de constater que les fonctionnalités du logiciel rendant accessible le formulaire développé par son prestataire n’avaient pas été désactivées. Elles ont également révélé que le prestataire n’avait pas mis en place de filtrage des adresses URLs, qui aurait permis d’empêcher à des tiers non autorisés d’accéder aux données des clients contenues dans l’outil de gestion des demandes de service après-vente via le formulaire défectueux.
Il aurait donc fallu, poursuit la délibération de la Cnil, que Darty fasse « désactiver tous les modules inutilement mis en œuvre par son prestataire », car il s’agit d’une « bonne pratique en matière de sécurité des systèmes informatiques » que de mettre à l’arrêt les modules ou les fonctionnalités d’un outil qui ne sont pas requis ou employés, afin de réduire l’exposition aux risques, quels qu’ils soient.
La Portée de la décision :
Après la délibération Hertz, la CNIL dessine ce que seront ses actions sous l’égide du Règlement Européen qui entrera en vigueur le 25 mai 2018.
De ce nouveau cas d’espèce nous retiendrons quelques points :
- Nous avions souligné, à l’occasion de l’affaire Hertz, que la simple constatation d’un défaut de sécurité ne nous paraissait pas constituer une violation de données. Dans sa délibération la CNIL prend la peine de préciser que ses enquêteurs « ont pu accéder aux demandes de service après-vente formulées par les clients de la société, confirmant ainsi le défaut de sécurisation signalé par un tiers » et qu’« une violation de données est réalisée dès lors que des données à caractère personnel ont été rendues accessibles, volontairement ou non, à des tiers non autorisés » ;
- Même en l’absence de traitement de données sensibles telles que définies à l’article 8 de la loi du 6 janvier 1978 modifiée ou de données bancaires, la CNIL considère que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées. La pénalité administrative infligée passe de 40 K€ pour Hertz à 100K€ pour Darty, alors même que nous sommes encore dans le cadre de la loi Lemaire qui plafonne les pénalités à 3 M€ ;
- La CNIL considère qu’au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes au risque pesant sur la sécurité de leurs données, il y a lieu de rendre publique sa décision, ce qui devrait désormais être la règle.
Autant de bonnes raisons de se mettre en conformité des obligations du RGPD et, en cas de violation de données, de disposer d’un contrat d’assurance cyber adapté à ses scénarios d’exposition et aux besoins de financements des frais et pertes en découlant.
Par ailleurs, nous relevons que dans ces deux affaires (Hertz et Darty), les mises en causes des responsables des traitements sont directement liées à une défaillance de leurs prestataires informatiques. Dans un précédent article nous avions alerté nos lecteurs sur l’importance pour ces prestataires informatiques d’avoir des assurances adéquates (RCPro et Assurance Cyber).
Avec la participation de Jean-Laurent Santoni (Président de Clever Courtage)