Accueil » Défaut de sécurité : avertissement public de la société RICARD !

Défaut de sécurité : avertissement public de la société RICARD !

4 minute(s) de lecture
2821 vues
Data / Données personnelles
Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le 8 juillet 2015, et en l’absence de toute plainte à l’encontre de la société RICARD, la présidente de la CNIL a ordonné une mission de vérification en ligne de tous les traitements réalisés sur le site « www.ricard.com » afin d’en vérifier la conformité à la loi informatique et libertés.

Le contrôle en ligne s’est déroulé le 9 juillet 2015 et a donné lieu à constatation d’un manquement à l’obligation de veiller à la sécurité et à la confidentialité des données personnelles. Le manquement étant caractérisé, la CNIL a prononcé un avertissement public à l’encontre de la société RICARD, notamment dans un but de sensibilisation des responsables de traitement à leur obligation de sécurité.
 

1. Les faits et la décision

En navigant sur le site internet de la société RICARD, la délégation de contrôle de la CNIL est parvenue à consulter les informations contenues dans le fichier « robots.txt », qui permet de signaler aux robots d’indexation des moteurs de recherches quelles pages d’un site internet peuvent être indexées et lesquelles doivent être exclues.

Si des ressources contenant des données à caractère personnel étaient bien exclues de l’indexation, elles étaient néanmoins librement accessibles en renseignant dans l’URL du navigateur, le nom du répertoire à la suite de l’adresse du site internet.

C’est ainsi que la CNIL a été en mesure de télécharger des milliers de fichiers contenant des données à caractère personnel des clients de la société.

Suite à l’alerte donnée par la CNIL, la société a indiqué avoir pris, par l’intermédiaire de son hébergeur, toutes les mesures nécessaires pour bloquer l’accès aux données.

La CNIL a réalisé un second contrôle quatre mois plus tard afin de s’assurer que la société avait remédié à son défaut de sécurité et que les mesures prises ont été suffisantes.

A l’occasion de cette nouvelle vérification en ligne, la CNIL a constaté que des données à caractère personnel étaient toujours accessibles en renseignant manuellement l’adresse du répertoire qui les contient.

Compte tenu de la persistance de la fuite des données, une procédure de sanction a été engagée au terme de laquelle le manquement à l’obligation de veiller à la sécurité et à la confidentialité des données, en application de l’article 34 de la loi informatique et libertés, donnant lieu au prononcé d’un avertissement public de la société RICARD.
 

2. Ce qu’il faut en retenir

Cette décision est intéressante car elle prodigue trois enseignements :

  • Premièrement, même en l’absence de plainte ou d’incident de sécurité, la CNIL peut diligenter une enquête et constater un manquement à l’obligation de sécurité, celui-ci étant constitué par l’absence de mise en œuvre de mesures de sécurité ;
     
  • Deuxièmement, le manquement à l’obligation de sécurité est caractérisé quand-bien même aucun préjudice n’a été subi par les personnes impactées. La commission précise même que cette « circonstance est sans influence » sur la caractérisation d’un manquement ;
     
  • Troisièmement, le recours à un sous-traitant, notamment pour l’hébergement et la gestion du site Web, qualifié et reconnu n’est, ni de nature à exonérer le responsable de traitement de ses obligations de sécurité, ni assimilé à une mesure de protection et de sécurisation des données.
     

3. Comment se prémunir contre une telle sanction?

Le nouveau règlement européen relatif à la protection des données personnelles prévoit un nouveau mécanisme de mise en œuvre de la responsabilité des différents acteurs d’un traitement de données et notamment une responsabilité direct du sous-traitant.

A ce titre, il pourrait être opportun pour un responsable de traitement de prévoir un partage de responsabilité  avec son sous-traitant en cas de faille de sécurité.

Ainsi, la redéfinition par voie contractuelle des rôles respectifs de chacun, notamment dans la définition des mesures de sécurité à mettre en place, pourrait permettre au responsable d’un traitement de s’exonérer de sa responsabilité ou du moins de la partager avec son sous-traitant.

Retour
Sommaire

Autres articles

some
Data / Données personnelles
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
nombre de vus 2085 vues
3 minute(s) de lecture
some
Data / Données personnelles
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
nombre de vus 2005 vues
1 minute(s) de lecture
some
Data / Données personnelles
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
nombre de vus 2057 vues
3 minute(s) de lecture
some
Data / Données personnelles
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
nombre de vus 2227 vues
3 minute(s) de lecture
some
Data / Données personnelles
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
nombre de vus 3387 vues
7 minute(s) de lecture
some
Data / Données personnelles
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…
nombre de vus 2275 vues
4 minute(s) de lecture
Newsletter
Contact
Archives de la lettre du numérique