Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.
La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.
Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.
I- Définition du responsable de traitement
Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.
Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.
La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.
Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.
Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.
II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée
Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.
La violation des données personnelles étant liée à un développement non demandé au sous-traitant, la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.
La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.
Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.
Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.
La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».
Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.
Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.
Pascal ALIX, avocat et DPO externe
Hubert de SEGONZAC, avocat et DPO externe
[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.
[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils