La CNIL sanctionne DARTY à hauteur de 100 000 €

 

Par Bertrand PLAU

Juriste Consultant RGPD

En date du 08 janvier 2018, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné publiquement l’entreprise DARTY pour manquement à l’obligation de sécurité des traitements de données personnelles. En l’espèce, un sous-traitant de DARTY, chargé de la gestion et du traitement des demandes de services après-vente des clients, a mis en place un formulaire de collecte des données nécessaires à cette finalité. Ce formulaire était à l’origine des défaillances sécuritaires du fait, notamment, d’une absence de filtrage des adresses URL et de l’ absence de désactivation de fonctionnalités logicielles rendant possible l’accès au formulaire litigieux.

Ce n’est pas la première fois que la CNIL sanctionne un Responsable de Traitements sur la base de manquement aux obligations de sécurité, résultant d’opérations effectuées par un seul sous-traitant. En outre, HERTZ France avait déjà fait l’objet d’une sanction en 2017 sur ce fondement spécifique, la CNIL arguant que nonobstant toutes les mesures de colmatage des failles de sécurité, a posteriori, le simple manquement à une vigilance des activités de sous-traitance pouvait à lui seul être motif de sanction publique.

Lors des échanges entre DARTY et la CNIL, au cours de la procédure et suite aux contrôles opérés, DARTY faisait justement état de ce point : ce dernier ne pourrait légitimement être tenu responsable des activités du sous-traitant. En effet, le formulaire utilisé n’était pas spécifiquement demandé par DARTY dans un quelconque cahier des charges, le sous-traitant ayant agi de sa propre initiative. De plus, l’URL origine des failles n’était utilisée que par le sous-traitant qui l’utilisait pour ses propres finalités. Au final, l’un des sempiternels débats relatifs au partage de responsabilités est à nouveau posé : quelle est la frontière entre la conservation d’une responsabilité exclusive au Responsable de Traitements à la co-responsabilité, voire le transfert total ou partiel de responsabilité, vers un sous-traitant, du fait de son incidence sur des traitements de données personnelles ?

La sanction de la CNIL mérite, sur ce seul thème, une attention particulière : la Commission détaille volontiers l’interprétation faite de la qualification juridique de “Responsable de traitements”:  La CNIL rappelle, que la notion de responsable de traitements doit être interprétée in concreto, à savoir une interprétation liée de façon directe aux finalités du traitement de données concerné. En l’espèce, DARTY choisit un sous-traitant mettant en place des process pour l’accomplissement des finalités nécessaires : Comme le rappelle la CNIL en se basant sur les lignes directrices du G29, l’irresponsabilité de DARTY ne peut être constatée que dans le cas,  où le sous-traitant aurait crée des services à valeur ajoutée pour des finalités personnelles à ce dernier.

Un responsable de traitements doit donc constamment adopter une vigilance raisonnable sur les activités réalisées par ses sous-traitants. A l’instar de la sanction HERTZ, la CNIL confirme que, faire appel à un sous-traitant sans contrôle des activités permettant de démontrer le respect de l’obligation de sécurité du traitement imposé par la loi Informatique et Libertés, n’exonère en rien le Responsable de Traitements de sa responsabilité initiale. Avec l’application prochaine du RGPD, il est aujourd’hui hautement recommandé pour les Responsables de Traitements de procéder à une vérification de ses activités de sous-traitance sur la base d’un référentiel répondant aux obligations légales, prouvant ainsi à la CNIL, qu’un regard a été porté, a priori, pour respecter l’article 34 de la loi Informatique et libertés.

Aujourd’hui, il n’est plus suffisant de pouvoir prouver qu’une faille de sécurité a été colmatée avec la meilleure diligence possible. Au regard de la présente décision, la CNIL confirme qu’une sanction peut, ou non, être éditée sur la seule base de l’existence d’accomplissements de process a priori ou a posteriori. Ne pas suffisamment surveiller ses sous-traitants est bel et bien passible de sanctions, et ce, malgré le principe de co-responsabilité qui sera mis en application en mai 2018 avec le RGPD.

 


accueil Blog Actu-CIL