RAPPEL DES OBLIGATIONS D'UN RESPONSABLE DE TRAITEMENT

Dans une délibération n°SAN-2018-001 du 8 janvier 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) a condamné la société ETABLISSEMENTS DARTY ET FILS à payer une amende de 100 000 € en raison d’un manquement à l’obligation d’assurer la sécurité des données, prévu à l’article 34 de la loi du 6 janvier 1978. Cet article prévoit que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »

En l’espèce, le 27 février 2017, l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information a informé la CNIL d’une violation de données à caractère personnel à partir de l’URL suivant : http://darty.epticahosting.com/selfdarty/registrer.do,/ qui renvoyait vers un formulaire permettant aux clients de la société de déposer une demande de service après-vente.

Une délégation de la CNIL a été missionnée pour procéder à des contrôles en ligne et sur place au sein des locaux de la société ETABLISSEMENTS DARTY ET FILS les 2 et 15 mars 2017. Ainsi, la délégation a pu constater qu’une fois le formulaire rempli, un lien hypertexte correspondant au numéro d’enregistrement de la demande permettait d’accéder à son suivi. Cependant, en modifiant le numéro d’identifiant dans cette adresse URL, 912 938 fiches de demande de service après-vente remplies par d’autres clients de la société étaient potentiellement accessibles lors du premier contrôle (918 721 lors du second contrôle). Il a été constaté que des données à caractère personnel tels que le nom, prénom, adresse postale, adresse de messagerie électronique ainsi que les commandes étaient accessibles.

En outre, il a été relevé que la gestion des demandes de service après-vente de DARTY est un service sous-traité par la société EPTICA, qui fournit un outil alimenté en principe par deux sources : le formulaire de demande de service après-vente accessible depuis le site de la société www.darty.com et les demandes adressées par courrier électronique. Ainsi, le formulaire accessible par l’URL litigieuse est une troisième source développée et commercialisée par la société EPTICA qui n’aurait pas dû être accessible.

Ainsi, le 6 mars 2017, jour où la société ETABLISSEMENTS DARTY ET FILS a pris connaissance par la CNIL de la violation des données, cette même société a demandé à la société EPTICA de prendre les mesures nécessaires.  Le 16 mars 2017, la société ETABLISSEMENTS DARTY ET FILS indiquait par courrier à la CNIL qu’elle avait pris les mesures de sécurisation nécessaires.

La CNIL va s’appuyer sur 2 éléments pour retenir la qualité de responsable de traitement de la société ETABLISSEMENTS DARTY ET FILS :

  • La détermination par la société des finalités et des moyens de traitement
  • Le manquement à l’obligation d’assurer la sécurité des données au titre de l’article 34 de la loi du 6 janvier 1978

I - LE RESPONSABLE DU TRAITEMENT DETERMINE LES FINALITES ET LES MOYENS DE TRAITEMENT

La société ETABLISSEMENTS DARTY ET FILS soutient qu’elle ne dispose pas de la qualité de responsable de traitement concernant les traitements affectés par la violation de données, c’est-à-dire ceux accessibles par l’URL litigieux.

Selon l’article 3 de la loi n°78-17 du 6 janvier 1978, « le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou règlementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. » En outre, concernant le sous-traitant, l’article 35 de la loi précitée précise que le sous-traitant ne peut agir que « sur instruction du responsable de traitement » et qu’il doit « présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité ». A noter que cette exigence, « ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures », ni celle de « préserver la sécurité des données traitées pour son compte[1]. »

Ainsi, en l’absence de la mention de ce formulaire dans le cahier des charges annexé au contrat de prestation de services, conclu entre les deux sociétés le 8 avril 2012, la société ETABLISSEMENTS DARTY ET FILS considère ne pas avoir déterminé tous les moyens mis en œuvre par la société EPTICA, cette dernière ayant développé de sa propre initiative et pour des finalités qui lui sont propres le modèle litigieux.

Si les trois formes de demande de service après-vente relèvent d’une part de la société ETABLISSEMENTS DARTY ET FILS, et d’autre part de la société EPTICA, la CNIL estime que « l’ensemble de ces demandes se rattachent à un seul et même traitement, celui des données à caractère personnel des clients de la société ETABLISSEMENTS DARTY ET FILS, pour une finalité unique de suivi des demandes de service après-vente adressées à cette société. » En conséquence, les demandes formulées via l’URL litigieux sont transférées dans l’outil de gestion des demandes de service après-vente et sont bien traitées par les services de la société ETABLISSEMENTS DARTY ET FILS. 

Concernant les moyens de traitement, si la société EPTICA a mis à disposition le formulaire via l’URL litigieux sans que la société ETABLISSEMENTS DARTY ET FILS n’en ait connaissance, le fait d’ajouter unilatéralement ce moyen de traitement en plus des autres moyens déterminés dans le cadre du contrat, ne saurait suffire à considérer la société EPTICA comme responsable du traitement.

En conclusion, la formation restreinte de la CNIL considère que « la société ETABLISSEMENTS DARTY ET FILS doit être qualifiée de responsable de traitement en ce qu’elle détermine la finalité et les moyens du traitement des données accessibles ». En effet, il lui appartenait d’une part de « vérifier que toutes les composantes et options de l’outil de gestion des demandes de service après-vente développées par la société EPTICA répondaient à l’obligation de confidentialité », et d’autre part de faire « désactiver tous les modules inutilement mis en œuvre par son prestataire. »

 

II - LE MANQUEMENT A L'OBLIGATION DE SECURITE DES DONNEES PERSONNELLES

La CNIL rappelle qu’une violation de données est réalisée dès lors que des données à caractère personnel ont été rendues accessibles, de manière volontaire ou non, à des tiers non autorisés.

En retenant le logiciel de la société EPTICA, la société ETABLISSEMENTS DARTY ET FILS aurait dû procéder aux tests élémentaires telle que la vérification préalable des règles de filtrage des URL. Par ailleurs, il lui revenait de procéder de façon régulière à la revue des formulaires de demande de service après-vente, et de désactiver les fonctionnalités non utilisées et/ou non nécessaires d’un module.

En vérifiant les caractéristiques de ce produit, la société ETABLISSEMENTS DARTY ET FILS aurait pu identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente, et empêcher celui-ci.

En outre, il est reproché à la société ETABLISSEMENTS DARTY ET FILS de ne pas avoir effectué un suivi régulier, en ne demandant aucuns justificatifs à la société EPTICA sur les mesures correctives mises en place jusqu’à la résolution complète de la violation de données, le 15 mars 2017.

En conséquence, au titre de l’article 34 de la loi du 6 janvier 1978, la CNIL considère que la société ETABLISSEMENTS DARTY ET FILS n’a pas pris « toutes les précautions utiles afin d’empêcher que des tiers non autorisés aient accès aux données traitées » et a fait preuve de négligence dans le suivi des actions de son sous-traitant.

Cependant, dans l’appréciation de la sanction, la CNIL a pris en compte la réactivité de la société qui a pu mettre fin à la violation de données dans un délai raisonnable et l’audit de sécurité organisé sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire.

Au regard de tous ces éléments, la CNIL a prononcé une sanction financière d’un montant de 100 000€ à l’égard de la société ETABLISSEMENTS DARTY ET FILS.

A noter que la CNIL dispose d'un pouvoir de sanction renforcé depuis la loi République numérique entrée en vigueur le 7 octobre 2016. L'amende maximale qu'elle peut infliger a été portée de 150.000 à 3 millions d'euros.

Bien que les Etablissements DARTY ET FILS soient responsables au regard de la loi du 6 janvier 1978, il est fort possible que la société les Etablissements DARTY ET FILS se retourne contre leur sous-traitant pour notamment non-respect de son obligation de sécurité.

Il semble que depuis ces derniers mois, les contrôles de la CNIL ainsi que les sanctions ont augmenté.

Le message de la CNIL EST clair. Il ne suffit pas de faire appel à un sous-traitant d’une part, et d’avoir prévu une clause de confidentialité et de sécurité conforme aux prescriptions de la CNIL. Il faut aussi vérifier les outils, les prestations des sous-traitants notamment par des audits.

Le choix d’un sous-traitant n’entraine pas la perte de la qualité de responsable de traitement et l’obligation de sécurité pèse sur le responsable de traitement et sur le sous-traitant par voie de conséquence.

[1] CE 11 mars 2015, Sté Total raffinage marketing et société X, n°368748

Chloé BLANC

17.01.2018