La formation restreinte de la CNIL vient de prononcer à l’encontre de DARTY une sanction de 100 000€ pour ne pas avoir suffisamment sécurisé les données de ses clients ayant effectué une demande en ligne de service après-vente.[1] En effet, lors de contrôles réalisés (en ligne et sur place) en mars 2017, les équipes de la CNIL ont constaté qu’une défaillance de sécurité permettait d’accéder librement à l’ensemble des demandes et des données renseignées par des clients de la société, via un formulaire en ligne de demande de service après-vente.
Ainsi, plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone des clients étaient potentiellement accessibles par tous.
Le formulaire de demande de service après-vente, à l’origine du défaut de sécurité, avait été développé par une société tierce, prestataire de DARTY (ayant mis au point un logiciel standard dit « sur étagère »). DARTY a alors informé son prestataire afin qu’il prenne les « mesures nécessaires » et a informé la CNIL que le problème était résolu.
Pourtant, la CNIL, après avoir opéré un second contrôle, s’est rendue compte que les fiches clients étaient toujours accessibles.
A. La sous-traitance ne décharge pas le responsable de traitement de ses obligations
1.Il appartenait à DARTY de vérifier que son sous-traitant respectait son obligation de confidentialité des données
Pour se défendre, DARTY opposait le fait que son prestataire avait agi en dehors du cahier des charges convenu entre les deux sociétés. Ainsi, elle ne pouvait être tenue pour responsable de la faille de sécurité.
La CNIL rappelle sur ce point que « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte (CE 11 mars 2015, Sté Total raffinage marketing et société X, n° 368748) ».
2. DARTY demeurait responsable de traitement
DARTY avançait également que son sous-traitant avait déterminé les moyens du traitement et qu’elle n’avait pas connaissance de l’URL concernée par la faille de sécurité
La CNIL précise que l’éditeur du logiciel n’a pas opéré ce traitement pour des finalités qui lui étaient propres. Elle insiste sur le fait que la seule finalité du traitement était la gestion des demandes des clients DARTY et que DARTY déterminait au moins en partie les moyens du traitement.
B. Le manquement à l’obligation de sécurisation des données
La CNIL a considéré que le défaut de sécurisation des données des clients de DARTY constituait un manquement à l’obligation de sécurité des données, au sens de l’article 34 de la Loi informatique et Libertés.
Puisque le recours à une société prestataire ne la décharge pas de son obligation de sécurisation des données, il lui incombait, en choisissant d’utiliser un logiciel standard dit « sur étagère », de procéder aux vérifications des caractéristiques de ce produit.
Selon la CNIL, cela lui aurait permis d’identifier le risque et même de l’empêcher. Elle rappelle en outre que la vérification préalable des règles de filtrage des URL fait « partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques ».
Par ailleurs, DARTY aurait dû vérifier de façon régulière les formulaires de demande de service après-vente accessibles et permettant d’alimenter l’outil de gestion des demandes de service après-vente. Elle souligne qu’une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires.
La CNIL a également estimé que DARTY avait fait preuve de négligence dans la surveillance des actions de son prestataire tendant à la résolution de la violation.
Ainsi, la CNIL rappelle dans cette délibération que la sous-traitance n’exonère pas le responsable de traitement de ses obligations en matière de sécurité des données. Il est donc nécessaire de rester vigilant à toutes les actions de son prestataire et de vérifier systématiquement et régulièrement les outils mis à disposition par ce dernier. Au-delà, il est nécessaire de lui imposer des tests d’intrusion et plus généralement des audits de sécurité qui sont aujourd’hui indispensables pour être en conformité avec le RGPD.
Sous le prisme du RGPD, une sanction 96 millions d’euros à l’encontre de DARTY et de son sous-traitant aurait pu être prononcée (4% du chiffre d’affaires mondial).
Charlotte GALICHET
[1] Délib. N° San-2018-001 du 8 janvier 2018