A la suite d’un signalement par l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information, la CNIL a pu constater une faille de sécurité au sein de l’outil de centralisation des demandes de service après-vente de la société Darty.
Par Annabelle Richard, associée, et Valentine Morand, Pinsent Masons
En effet, à chaque fiche issue d’un formulaire de demande de service après-vente était associé un numéro, reporté dans l’URL. Chaque fiche était donc accessible en ligne par simple remplacement de ce numéro dans l’URL. Plus de 900 000 fiches comprenant des données personnelles de clients telles que leur nom, prénom, adresse postale, adresse de messagerie électronique, ainsi que leurs commandes, étaient donc potentiellement accessibles en ligne.
Une telle accessibilité caractérise le manquement par la société Darty à son obligation d’assurer la sécurité des données personnelles de ses clients prévue par l’article 34 de la loi Informatique et libertés.
Aux termes de cette disposition, «le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès».
La société Darty, responsable de traitement
Dans le cadre de la procédure de sanction, la société Darty s’est d’abord défendue d’être elle-même responsable de cette atteinte à la sécurité des données clients. La société soutenait qu’elle ne pouvait être considérée comme le responsable de traitement du formulaire de collecte affecté par la violation des données.
Aux termes de l’article 3 de la loi Informatique et libertés, le responsable d’un traitement de données à caractère personnel est la personne qui détermine ses finalités et ses moyens.
Darty ne considérait pas tomber sous le coup de cette définition puisque le formulaire litigieux, développé et commercialisé par son sous-traitant, constituait une seule des trois sources de l’outil de gestion des demandes de service après-vente. Celui-ci était également alimenté par le formulaire de collecte propre à la société Darty et disponible sur son site.
Contrat de prestation à l’appui, la société expose que ce formulaire natif n’a jamais été demandé par elle ou proposé par son sous-traitant. Elle considère ainsi ne pas remplir le critère de détermination des finalités et des moyens du traitement.
La formation restreinte lui oppose la nécessité d’adopter une approche plus concrète en matière de détermination du responsable de traitement.
S’agissant de la détermination de la finalité, le G29 a pu considérer qu’«être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres (1)».
Or ici, la finalité retenue est celle de la gestion et du traitement des demandes de service après-vente. Cette finalité est évidemment une finalité propre à la société Darty, aucun élément n’étant apporté au soutien d’une finalité distincte poursuivie par son sous-traitant.
Le traitement de ces demandes, quelle que soit la source utilisée – formulaire du site Darty, demande par e-mail ou demande soumise par le biais du formulaire natif litigieux – poursuit cette seule finalité.
S’agissant des moyens, le G29 a précisé que «la détermination des moyens englobe [...] à la fois des questions techniques et d’organisation, auxquelles les sous-traitants peuvent tout aussi bien répondre (par exemple, quel matériel informatique ou logiciel utiliser ?), et des aspects essentiels qui sont traditionnellement et intrinsèquement réservés à l’appréciation du responsable du traitement, tels que : quelles sont les données à traiter ? Pendant combien de temps doivent-elles être traitées ? Qui doit y avoir accès ?, etc. (2)»
Dès lors, quand bien même le sous-traitant aurait décidé seul d’ajouter le formulaire natif aux moyens de traitement convenus, le choix de Darty de recourir à la solution de ce sous-traitant et le fait que seuls les salariés de la société aient accès aux données traitées font de cette société le décisionnaire au moins partiel des moyens du traitement litigieux.
La qualité de responsable du traitement litigieux est donc attribuée à la société Darty.
La société Darty, responsable du défaut de sécurité de ses données clients
Darty a également pu mettre en avant le fait que son sous-traitant n’a pas agi sur ses instructions mais au contraire hors du cadre défini par le cahier des charges annexé au contrat de prestations de services conclu entre les deux sociétés.
Cet argument est rapidement balayé par la CNIL, qui rappelle en des termes clairs l’inéluctabilité de la responsabilité du responsable de traitement en cas de manquement aux dispositions de la loi Informatique et libertés. En effet, loin de soulager le responsable de traitement, l’article 35 de cette loi ajoute une responsabilité supplémentaire de contrôle des agissements de son sous-traitant.
Ayant recours à un logiciel standard, il revenait donc à la société Darty de procéder à des vérifications dès l’achat – mais aussi par la suite – qui auraient permis d’identifier le risque résultant de l’existence du formulaire natif et de le faire désactiver par le sous-traitant.
La CNIL reproche également à Darty ses manquements dans le suivi des mesures correctives prises par son sous-traitant. En effet, le défaut de sécurité n’a été corrigé qu’à la suite du second contrôle de la CNIL.
Sous le régime du Règlement général sur la protection des données (RGPD) entrant en application le 25 mai 2018, la solution n’aurait sans doute pas été différente en ce que le responsable de traitement devra mettre en œuvre de nouveaux principes tels que la protection des données dès la conception mais aussi la protection des données par défaut. Ainsi, en application de ces nouvelles obligations, le formulaire natif litigieux aurait dû être identifié et désactivé, et ce, dès la conception du traitement. La notion de protection de données par défaut indique par ailleurs très précisément que les mesures devant être prises par le responsable de traitement «garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée (3)».
Néanmoins, il est intéressant de noter que le Règlement européen introduit un principe de responsabilité du sous-traitant. En effet, ce dernier se voit soumis à une triple responsabilité : contractuelle vis-à-vis de son responsable de traitement, directe vis-à-vis des personnes concernées et, enfin, administrative en ce qu’il pourra se voir infliger des amendes de la part des autorités de contrôle comme la CNIL (4).
Dans le cadre de la délibération du 8 janvier 2017 néanmoins, c’est la société Darty seule qui fait face à une amende d’un montant de 100 000 euros.
Si des défauts de sécurité des données comparables avaient déjà été identifiés par le passé, aucun n’avait induit une sanction pécuniaire aussi lourde.
Jusqu’à présent, la pratique de l’Autorité française de protection des données avait surtout consisté à prononcer des avertissements pour des violations de données à caractère personnel qui concernaient pourtant des dizaines de milliers voire même plus d’un million de personnes (5). La CNIL avait également pu infliger des sanctions pécuniaires, mais celles-ci n’avaient pas excédé le montant de 25 000 euros pour la société Web Editions et 40 000 euros pour la société Hertz France. (6)
Dans la présente décision, si la CNIL reconnaît la réactivité de Darty dans la gestion de la violation de données, elle souligne aussi la gravité du manquement du fait de la multitude de catégories de données rendues accessibles et de leur caractère révélateur sur les clients de la société.
La CNIL enverrait-elle le signal qu’elle embrasse les possibilités de sanctions croissantes qui lui sont offertes ?
En effet, si la Loi pour une république numérique portait le plafond des sanctions à 3 millions d’euros, le Règlement européen va bien au-delà en le fixant à 10 millions d’euros ou 2 % du chiffre d’affaires mondial en cas de défaut de sécurité des données à caractère personnel.
(1). Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant», adopté le 16 février 2010.
(2). . Avis 1/2010 sur les notions de «responsable du traitement» et de «sous-traitant», adopté le 16 février 2010.
(3). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Article 25.
(4). Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, Articles 82 et 83.
(5). Délibération n° 2014-298 du 7 août 2014 ; Délibération n° 2016-108 du 21 avril 2016 ; Délibération n° 2017-011 du 20 juillet 2017.
(6). Délibération n° 2017-010 du 18 juillet 2017 ; Délibération n° 2017-012 du 16 novembre 2017.
