Par délibération du 8 janvier 2018, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction pécuniaire d’un montant de 100 000€ à l’encontre de la société ETABLISSEMENTS DARTY ET FILS pour manquement à son obligation d’assurer la sécurité des données à caractère personnel de ses clients conformément à l’article 34 de la Loi Informatique et Libertés. Cette sanction est susceptible de recours devant le Conseil d’Etat.

Se faisant la CNIL rappelle expressément que, conformément à la loi Informatique et Libertés, le responsable du traitement n’est pas déchargé de son obligation d’assurer la sécurité des données à caractère personnel lorsqu’il a recours à un ou plusieurs sous-traitants. L’autorité de contrôle rappelle également que le responsable du traitement doit être proactif dans ses relations avec ses sous-traitants.

Quels sont les faits ?

La CNIL a été informée par l’éditeur d’un site Internet spécialisé dans la sécurité des systèmes d’information de l’existence d’une potentielle violation de données à caractère personnel à partir d’une adresse URL. Dans ce contexte, deux contrôles ont été diligentés les 2 et 15 mars 2017, l’un en ligne, l’autre sur place.

Lors du contrôle en ligne, la CNIL a constaté que l’URL renvoyait vers un formulaire permettant aux clients de déposer une demande de service après-vente. Une fois le formulaire rempli, un lien hypertexte est généré et contient un numéro d’enregistrement de la demande. Toutefois, en modifiant ce numéro, les formulaires de demande de service après-vente d’autres clients étaient accessibles à des tiers non autorisés.

Les agents de la CNIL ont ainsi dénombré l’accessibilité potentielle de 912 938 fiches clients, contenant des données à caractère personnel tel que le nom, le prénom, l’adresse postale, l’adresse de messagerie électronique et leurs commandes.

La société d’électroménager a été prévenue par l’autorité de contrôle de l’existence d’une telle violation mais, le 15 mars 2017, lors du contrôle sur place, les fiches des clients étaient toujours accessibles et de nouvelles fiches avaient été générées entre le premier et le second contrôle.

Compte tenu de ses constatations, l’autorité de contrôle a engagé une procédure de sanction.

Qui était le responsable du traitement ?

Cette délibération est l’occasion pour la CNIL de rappeler quels sont les éléments permettant de qualifier un responsable du traitement.

En effet, dans le cadre de la procédure, la société sanctionnée a développé l’argument selon lequel la qualité de responsable du traitement ne pouvait pas lui être attribuée. Selon cette société, le formulaire et l’URL litigieux avaient été créés par son sous-traitant sans qu’aucune instruction n’ait été donnée en ce sens. En considérant que son sous-traitant avait agi en dehors de toutes instructions, la société sanctionnée soulignait que cette entité devait être qualifiée de responsable du traitement.

Reprenant l’article 3, I de la loi n°78-17 du 6 janvier 1978 modifiée, la formation restreinte de la CNIL identifie laquelle des deux entités  a défini les finalités et les moyens du traitement de données à caractère personnel. La formation restreinte s’appuie également sur la doctrine constituée par l’avis du Groupe de l’Article 29 relatif au responsable du traitement (Avis 1/2010 du 16 février 2010).

Dans ce contexte, l’autorité de contrôle retient une autre lecture de la situation d’espèce. Elle rappelle que la finalité du traitement à savoir, le suivi des demandes de service après-vente, a été définie par la société d’électroménager tout comme les moyens du traitement. Cette définition s’est notamment illustrée dans le choix de la société sanctionnée de recourir au formulaire développé par le sous-traitant. En revanche, selon la CNIL, la seule mise à disposition d’un formulaire de collecte de données à caractère personnel est insuffisante à attribuer la qualité de responsable du traitement au sous-traitant.

Par ailleurs, selon la CNIL, les éléments du dossier n’auraient pas permis d’identifier que le sous-traitant agissait pour son propre compte et pour une ou plusieurs finalités distinctes de celle poursuivie par la société sanctionnée. Rappelons en effet qu’en vertu de l’article 35 de la loi Informatique et Libertés, le sous-traitant ne peut agir que sur instructions du responsable du traitement. Dès lors, si le sous-traitant outrepasse les instructions données, la qualité de responsable du traitement peut lui être reconnue. Sur ce point, le RGPD n’apporte pas d’évolution. L’article 28, 10 du RGPD précise que  » (…) si , en violation du présent règlement, un sous-traitant détermine les finalités et les moyens du traitement, il est considéré comme un responsable du traitement pour ce qui concerne ce traitement. ».

En outre, les données à caractère personnel traitées par le sous-traitant concernaient des clients de la société sanctionnées et seuls les salariés de cette dernière y avait accès.

En quoi un manquement à l’obligation d’assurer la sécurité des données est-il constitué ?

Le manquement à l’obligation d’assurer la sécurité des données à caractère personnel est d’abord constitué par la violation de données à caractère personnel intervenue. Des tiers non autorisés ont pu accéder aux données à caractère personnel traitées dans le cadre de la gestion des demandes de service après-vente.

En outre, le manquement à l’obligation d’assurer la sécurité des données à caractère personnel est caractérisé par l’absence de contrôle du sous-traitant par la société sanctionnée tant en amont de la contractualisation, qu’au cours de l’utilisation du produit.

L’autorité de contrôle relève que :

  • des tests qu’elle qualifie d’élémentaires n’ont pas été effectués à savoir, la vérifications des règles de filtrage des adresses URL.
  • des pratiques ont en outre été ignorée comme celle consistant à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires. ».
  • les mesures correctrices prises par le sous-traitant suite à la découverte de la violation de données auraient du être surveiller de manière plus étroite. Cela aurait pu se traduire par la formulation de demandes de précisons régulières, l’organisation de points d’avancement, etc.

Recours à un sous-traitant : quelles pratiques mettre en place ?

L’article 35 de la loi Informatique et Libertés dispose que « Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en oeuvre des mesures de sécurité et de confidentialité mentionnées à l’article 34. ». Sur ce point, le RGPD apporte une évolution en ce qu’il prévoit que le responsable du traitement « fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes (…). ». Ainsi, le responsable du traitement doit-il s’assurer en amont que le sous-traitant est en mesure de mettre en oeuvre un certain nombre des mesures organisationnelles et techniques, incluant la sécurité des données. Dans ce contexte, le responsable du traitement doit par exemple interroger le sous-traitant sur son niveau de maturité en matière de protection des données et établir des prérequis juridiques et techniques.

Par ailleurs, le responsable du traitement doit être en mesure d’identifier l’ensemble des sous-traitants impliqués dans les traitements de données à caractère personnel afin de vérifier qu’un contrat encadrant le traitement mis en oeuvre est conclu et qu’il encadre la mise en oeuvre dudit traitement. Enfin, indépendamment de la clause qui figure dans les contrats, chaque responsable du traitement doit s’interroger sur sa capacité et des modalités d’audit de ses sous-traitants au cours de l’exécution du contrat. A cet égard, il est intéressant de noter que le rapporteur public désigné dans le cadre la procédure de sanction prend le soin de souligner que l’intervention d’un prestataire « crée plutôt, une responsabilité supplémentaire de contrôle effectif des agissements du prestataire. ». Cette affirmation se trouve indirectement traduite dans le RGPD. En effet, l’article 28 du RGPD prévoit que le contrat liant le responsable du traitement au sous-traitant comporte une stipulation relative à la mise à disposition « d’informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits (…) ».

Mathias Avocats met à votre disposition des conseils pratiques relatifs à la protection des données à caractère personnel.