28/07/14

Sécurité des données personnelles : rappel à l’ordre de la CNIL

La vente d’un fonds de commerce emporte-elle systématiquement la cession des fichiers clients ?Par une délibération en date du 12 juin 2014, rendue en formation restreinte, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné une société de transport, de logistique et de fret pour manquement à ses obligations de sécurisation des données personnelles de ses clients.

Conformément à l’article 34 de la loi Informatique et Libertés du 6 janvier 1978, « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Or, en l’espèce, des centaines de milliers de fichiers comportant des données personnelles des clients de la société de transport, de logistique et de fret ont été diffusées en ligne à la suite de deux failles dans la base de données : la première, qui était connue de l’entreprise (selon sa propre déclaration), ouvrait l’accès à ces fichiers depuis le réseau de l’entreprise, et la seconde, dont elle n’aurait pas eu connaissance, qui ouvrait l’accès à ceux-ci depuis tout réseau connecté à l’Internet.

Alertée d’un possible problème de sécurité, la CNIL a ordonné une mesure de contrôle qui a révélé la fuite d’informations ainsi que les deux failles qui étaient à son origine. La défaillance en cause était causée par un défaut de programmation du sous-traitant ayant développé le logiciel de la base de données.

Bien que la société de transport, de logistique et de fret ait immédiatement pris des mesures pour régulariser sa situation, la CNIL considère qu’après la découverte de la première faille, la société objet du contrôle aurait dû vérifier la sécurité de l’ensemble de l’application. La CNIL rappelle que même si l’opérateur économique n’était tenu que d’une obligation de moyens pour assurer la sécurité des données, il a été négligent du fait de son inaction après la découverte de la première faille.

Cette décision vient rappeler l’importance de la sécurité des données et les obligations qui pèsent sur les opérateurs, la CNIL ayant établi un guide à l’attention de ces derniers : http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Livrets/securite/index.html#/2/

Ainsi, dès lors qu’une faille potentielle est découverte au sein d’un système de gestion de données personnelles l’entreprise est vivement encouragée à prendre des mesures pour remédier au problème, et à se préserver la preuve des mesures mises en œuvre en cas de contrôle.

A ce jour, l’ensemble des opérateurs économiques ne sont pas tenus d’alerter la CNIL en cas de survenance d’une telle faille. Cette obligation ne pèse, conformément à l’article 34 bis de la loi Informatique et Libertés que sur les fournisseurs de services de communications électroniques accessibles au public.

Elle pourrait bientôt être étendue à tous les autres responsables de traitement des données personnelles, le projet de règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui devrait être adopté dans les prochains mois, prévoit en effet une obligation de notification de l’autorité de contrôle ainsi que de la personne concernée des violations des données à caractère personnel.

Cet article a été rédigé par Philippe Debry et Matthieu Dary.

Voir aussi :
Cour d’appel de Lyon du 11 février 2014 : Perte de fichiers informatiques dans le cadre d’un contrat d’infogérance et demande d’indemnité provisionnelle
Licences FRAND : des brevets essentiels… à la concurrence !
Commerce électronique : vigilance sur la conservation des données bancaires


Mots-clés : , ,


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *