Par délibération – rendue publique – en date du 8 janvier 2018, la CNIL a condamné la société DARTY à une sanction pécuniaire d’un montant de 100.000 euros pour manquement à son obligation de sécurité des données personnelles.
En février 2017, une société spécialisée dans la sécurité des systèmes d’information a informé la Commission nationale de l’informatique et des libertés (la « CNIL ») d’une violation de données personnelles à partir de l’URL renvoyant vers un formulaire permettant aux clients de la société DARTY de déposer une demande de service après-vente.
Après enquête, la CNIL a constaté qu’à partir du moment où un client avait déposé une demande de service après-vente, il pouvait, à partir de son navigateur, modifier le numéro d’identifiant contenu dans le lien permettant d’accéder au suivi de sa demande et ainsi accéder à des fiches de demande de services après-vente remplies par d’autres clients de la société, et contenant donc des données personnelles (notamment : nom, prénom, adresses postale et de messagerie électronique, et commandes passées).
Après avoir été notifiée de la violation par la CNIL, la société DARTY a indiqué avoir procédé aux mesures de sécurisation nécessaires par l’intermédiaire de son prestataire sous-traitant EPTICA.
1. Sur la qualité de responsable de traitement de la société DARTY
La société DARTY soutenait qu’elle n’avait pas la qualité de responsable de traitement concernant les traitements affectés par la violation de données, c’est-à-dire à ceux accessibles à partir de l’URL. Elle arguait du fait qu’elle ignorait l’existence de ce formulaire, qu’il n’aurait pas dû être disponible en ligne, et qu’elle ne l’utilisait pas, puisqu’elle disposait d’un autre formulaire propre au site www.darty.com.
La CNIL rappelle qu’au titre de l’article 3-I de la loi n° 78-17 du 6 janvier 1978 modifiée dite « Informatique et libertés » et de l’avis 1/2010 du G29 du 16 février 2010 sur la notion de responsable de traitement et de sous-traitant, la qualité de responsable de traitement doit être appréciée in concreto et résulte de la définition par une entité de finalités qui lui sont propres.
À ce titre, la CNIL relève que la société DARTY a fait appel aux services du prestataire EPTICA pour gérer et traiter les demandes de service après-vente de ses clients. Les demandes SAV pouvaient donc résulter tant du formulaire propre au site www.darty.com que du formulaire développé par le prestataire EPTICA et étaient ensuite toutes regroupées dans l’outil de gestion des demandes de SAV traitées par les services de la société DARTY.
Dans la mesure où « il ne ressort d’aucune pièce du dossier » que le prestataire EPTICA aurait traité des données personnelles issues du formulaire litigieux pour son propre compte et pour des finalités différentes de celles définies par la société DARTY, la CNIL considère que c’est bien la société DARTY qui avait déterminé la finalité du traitement des données collectées via l’URL mis en place par son sous-traitant. L’URL litigieuse est d’ailleurs explicite : le traitement de « hosting » est explicitement lié à « Darty »…
Il en aurait été autrement si le prestataire EPTICA avait utilisé ces données à des fins personnelles en complément du service rendu au responsable de traitement ; il aurait alors lui-même acquis la qualité de responsable de traitement ou éventuellement de coresponsable de traitement.
Par ailleurs, la CNIL rappelle qu’en vertu de l’avis 1/2010 du G29, l’activité du responsable de traitement peut se scinder en deux. D’une part, le responsable doit déterminer les moyens répondant à des « aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable de traitement ».
D’autre part, il doit également déterminer les moyens permettant de résoudre « des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre ». Ainsi, la CNIL estime que le fait pour le prestataire EPTICA d’avoir décidé seul d’ajouter le moyen de traitement des données via l’URL litigieux ne peut pas suffire à le considérer comme responsable de traitement. Cette assertion est étayée par le fait que c’est bien la société DARTY qui avait choisi de faire appel au prestataire EPTICA, et que les données personnelles contenues dans le formulaire litigieux étaient celles des clients de la société DARTY.
En vertu de l’article 35 de la loi Informatique et libertés, quand bien même un sous-traitant doit « présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité », c’est au responsable de traitement qu’il appartient « de veiller au respect de ces mesures ». Ainsi, la CNIL estime que même si l’URL litigieuse n’a pas été mise en place par le prestataire EPTICA sur instruction expresse de la société DARTY, c’est bien cette dernière qui doit être tenue pour responsable de la violation de sécurité en résultant.
2. Sur le manquement de la société DARTY à son obligation d’assurer la sécurité des données personnelles
Selon l’article 34 de la loi Informatique et libertés, une violation de données est caractérisée dès lors que des données à caractère personnel ont été rendues accessibles, volontairement ou non, à des tiers non autorisés. La CNIL estime qu’en l’espèce, la société DARTY a bien manqué à son obligation d’assurer la sécurité des données personnelles de ses clients.
D’une part, en faisant le choix d’un logiciel standard dit « sur étagère » édité par EPTICA, la société DARTY aurait dû vérifier préalablement que celui-ci ne présentait pas de risques d’atteinte aux données personnelles, puis « procéder de façon régulière à la revue des formulaires de demande de service après-vente ». La CNIL souligne qu’en matière de sécurité des systèmes d’information, une bonne pratique consiste à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ».
Rappelons qu’au sens du RGPD qui entre en vigueur le 25 mai prochain, les responsables de traitement (et leurs sous-traitants dans leurs outils numériques) sont tenus d’une obligation de minimisation qui implique de ne mettre en œuvre que les traitements strictement nécessaires pour les finalités poursuivies, et de ne collecter que les données strictement utiles à ces fins. Cet esprit de parcimonie devient donc nettement plus impératif, dans le cadre du renforcement général de la sécurité des traitements.
D’autre part, la CNIL estime que la société DARTY a fait preuve de négligence dans la surveillance des actions correctives effectuées par son sous-traitant après la découverte de la violation de sécurité. Ainsi, ce n’est qu’après que la CNIL ait effectué un second contrôle au sein des locaux de la société DARTY que la violation de données a intégralement pris fin. Le responsable de traitement aurait notamment dû procéder à un suivi régulier de la résolution de la violation auprès de son prestataire.
Rappelons là encore que le RGPD instaure une forme de coresponsabilité de fait entre responsables de traitement et sous-traitants, obligeant le premier à convenir par contrat de modalités de vérifications des modalités de sécurité effectives mises en place par son sous-traitant, sous la forme par exemple d’audits périodiques.
3. Sur la sanction prononcée
En tant que responsable de traitement ayant méconnu son obligation d’assurer la sécurité des données traitées, la société DARTY est condamnée à une amende de 100.000 euros.
Pour le prononcé de sa sanction, la CNIL prend néanmoins compte (i) de l’absence de traitement de données sensibles ou de données bancaires, (ii) de la prompte réaction de la société DARTY dès qu’elle a eu connaissance de la violation qui a pu être résolue dans un délai raisonnable, (iii) de son initiative de faire procéder à un audit de sécurité postérieurement à la résolution de la violation, ainsi que (iv) de sa bonne coopération avec la CNIL.
La CNIL justifie le rendu public de sa décision notamment au regard de la multiplication actuelle des incidents de sécurité ainsi que de la nécessité de sensibiliser les internautes à ce contexte de danger pour leurs données personnelles.
Outre rappeler les implications pratiques de l’obligation de sécurité incombant à un responsable de traitement, cette délibération de la CNIL met en lumière la nécessité de pouvoir déterminer qui, dans le cadre d’une relation contractuelle, est responsable de traitement et qui est sous-traitant. Ces deux rôles ne peuvent se confondre, et les acteurs ont tout intérêt à clarifier leur rôle respectif dans l’acte contractuel ou organisationnel les liant. Le futur Règlement 2016/679 sur la protection des données vient en effet préciser ces rôles et instaure une forme de « coresponsabilité » entre responsable de traitement et sous-traitant.