Le Quotidien du 7 juin 2016 : Informatique et libertés

[Brèves] Sanction d'une société pour défaut de sécurité des données de ses clients

Réf. : CNIL, délibération n° 2016-108, 21 avril 2016 (N° Lexbase : X7989APL)

Lecture: 2 min

N3014BWK

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Sanction d'une société pour défaut de sécurité des données de ses clients. Lire en ligne : https://www.lexbase.fr/article-juridique/31958390-breves-sanction-dune-societe-pour-defaut-de-securite-des-donnees-de-ses-clients
Copier

le 08 Juin 2016

La formation restreinte de la CNIL a prononcé, le 21 avril 2016, un avertissement public à l'encontre d'une importante société de vins et spiritueux car des données de ses clients étaient accessibles librement sur internet, rendu public le 24 mai 2016 (CNIL, délibération n° 2016-108, 21 avril 2016 N° Lexbase : X7989APL). La CNIL a réalisé un contrôle en ligne du site internet de cette société le 9 juillet 2015. Ce site a pour objet de proposer aux clients de la société d'adhérer à un programme de fidélité et de commander des objets promotionnels de la marque. A l'occasion de ce contrôle, la CNIL a relevé que les mesures garantissant la confidentialité des données des clients étaient insuffisantes. Les contrôleurs de la CNIL avaient en effet pu librement accéder à plusieurs milliers de données contenus dans les répertoires du site web, dont les nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients. Certains de ces répertoires, bien qu'exclus d'une indexation sur internet, ne faisaient pas l'objet de mesure de sécurité particulière permettant d'en restreindre l'accès alors qu'ils contenaient de nombreuses données personnelles. Immédiatement informée de cette faille de sécurité, la société a indiqué avoir bloqué l'accès aux données, par l'intermédiaire de son hébergeur. Or, un second contrôle daté du 27 novembre 2015, a révélé que les données étaient toujours accessibles, en interrogeant les URL d'accès direct aux fichiers litigieux. La Présidente de la CNIL a donc décidé d'engager une procédure de sanction à l'issue de laquelle un avertissement public a été prononcé à l'encontre de la société par la formation restreinte. Dans sa décision, celle-ci a estimé que :
- la société avait manqué à son obligation de veiller à la sécurité et confidentialité des données nominatives, en méconnaissance de l'article 34 de la loi "Informatique et libertés" (loi n° 78-17 du 6 janvier 1978 N° Lexbase : L8794AGS) ;
l'existence d'une relation de sous-traitance, aux termes de laquelle la société avait délégué l'hébergement de son site web et la gestion de son contenu à des prestataires, ne l'exonérait pas de ses obligations légales ;
- l'absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement.
Enfin, la formation restreinte a décidé de rendre sa sanction publique afin, notamment, de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées, y compris lorsqu'ils font appel à un sous-traitant. La société a, depuis, corrigé cette faille de sécurité. Les données ne sont plus accessibles sur internet.

© Reproduction interdite, sauf autorisation écrite préalable

newsid:453014

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note


Utilisation des cookies sur Lexbase

Notre site utilise des cookies à des fins statistiques, communicatives et commerciales. Vous pouvez paramétrer chaque cookie de façon individuelle, accepter l'ensemble des cookies ou n'accepter que les cookies fonctionnels.

En savoir plus

Parcours utilisateur

Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.

Réseaux sociaux

Nous intégrons à Lexbase.fr du contenu créé par Lexbase et diffusé via la plateforme de streaming Youtube. Ces intégrations impliquent des cookies de navigation lorsque l’utilisateur souhaite accéder à la vidéo. En les acceptant, les vidéos éditoriales de Lexbase vous seront accessibles.

Données analytiques

Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.