Début 2018, la CNIL a imposé une sanction pécuniaire de 100’000€ à la société DARTY pour avoir manqué à son obligation de sécurisation des données personnelles.

Cette sanction est révélatrice des risques et points de vigilance pour les entreprises concernées par le Règlement Général de Protection des Données (RGPD). En effet, la publication de cette sanction par la CNIL mentionne bel et bien les terminologies du RGPD (notamment celle du « Responsable de Traitement »), mais aussi les principes clés du RGPD : la répartition de responsabilités entre le Responsable de Traitement et le sous-traitant, l’obligation de résultats en termes de sécurité des données.

Il y a plusieurs enseignements à tirer de cette sanction :

  • Sans surprise, le Responsable de Traitement est responsable de l’ensemble des traitements de données, même s’il fait appel à un sous-traitant ou à un logiciel tiers. Il doit notamment vérifier que les outils mis en place par ce dernier procurent un niveau de sécurité satisfaisant.
  • Le montant de l’amende peut paraître impressionnant (100’000€), mais aurait pu être bien plus élevé, puisque le plafond était déjà de 3 millions d’euros sans le RGPD, et passe à 20 millions avec le RGPD.
  • Il est indispensable de mettre en place une procédure d’urgence, en cas de détection d’incident (fuite de données personnelles) : l’inaction de Darty laissant perdurer la situation 15 jours après avoir été notifiée par la CNIL, a probablement influencé le montant de l’amende, comme semble le confirmer la sanction de 40’000€ infligée à Hertz, qui a en revanche réagit tout de suite.
  • Lors de la mise en place d’un nouvel outil, le Responsable de Traitement doit s’assurer au préalable « que les règles de paramétrage de l’outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d’accéder aux données des clients. Cette vérification préalable d’absence de vulnérabilité fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes d’information. » (extrait de la publication de la CNIL sanctionnant Darty).

Ces éléments, entre autres, doivent évidemment être pris en compte par toutes les entreprises et association lors de leur démarche obligatoire de mise en conformité avec le RGPD.

Werner KLINGER
Ingénieur Conseil Web & NTIC.