La CNIL a sanctionné DARTY pour une atteinte à la sécurité de ses données clients résultant de l’action de son sous-traitant.
La CNIL a été informée d’une violation de données à caractère personnel permettant d’accéder à des données à caractère personnel appartenant à des clients utilisateurs du SAV Darty.
Cette violation permettait d’accéder à plus de 900 000 demandes de SAV formulée par des clients de la société simplement en entrant une certaine url suivie du numéro d’enregistrement d’une demande de SAV. Ces demandes contenaient des données personnelles, la CNIL a, suite au contrôle en ligne, prévenu DARTY.
La CNIL a ensuite procédé à un contrôle sur place pour voir si des mesures correctrices avaient été prises. Elle a été informée du fait que DARTY utilisait, pour la gestion de demandes de SAV de ses clients, un outil fourni par un sous-traitant. La publication des données personnelles résultait d’une des fonctionnalités du logiciel. Suite à ce second contrôle, DARTY a remédié au problème.
DARTY s’est prévalu du fait qu’elle n’utilisait pas l’url litigieuse, qui appartenait à son sous-traitant, et affirme qu’elle n’a pas déterminé tous les moyens mis en œuvre par son sous-traitant, qui a développé de sa propre initiative et pour des finalités qui lui étaient propres le formulaire de demande de SAV accessible à l’url litigieuse.
Elle indique que le contenu, le format, le choix des données collectées, le caractère obligatoire ou facultatif des champs de collecte de ce formulaires étaient définis par son sous-traitant.
La CNIL lui rétorque, dans cette décision, que la notion de responsable de traitement doit être appréciée in concreto. Elle rappelle que, selon le G29, « être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres ».
Elle relève que le traitement lié au formulaire présent à l’url litigieuse avait pour seule finalité de suivi des demandes de service après-vente adressées à DARTY, et que rien n’indique que le sous-traitant traiterait pour son propre compte et pour des finalités qui lui seraient propres, les données personnelles des clients de DARTY. Elle en conclut que DARTY détermine la finalité du traitement des données collectées via l’url litigieuse.
Concernant la détermination des moyens, la CNIL affirme que peu importe que DARTY n’ait pas eu connaissance du formulaire de collecte dès lors que c’est elle qui a choisi de recourir à la solution de gestion proposée par son sous-traitant et que les données utilisées par ce dernier étaient les données des clients de DARTY, auxquelles seuls ses salariés avaient accès. La CNIL affirme que DARTY déterminait en l’espèce au moins pour partie les moyens du traitement.
La CNIL relève donc la qualité de responsable du traitement de DARTY.
La CNIL rappelle également que le fait que le responsable du traitement ait confié des opérations de traitement à un sous-traitant n’exonère pas le responsable du traitement de sa responsabilité. La CNIL affirme enfin qu’il incombait à DARTY de procéder aux vérifications des caractéristiques du logiciel vendu par son prestataire, qui auraient permis d’identifier le risquer résultant de l’existence d’un accès aux données clients contenue dans l’outil de gestion des demandes de SAV et d’empêcher celui-ci.
Elle relève que si DARTY a bien ouvert un ticket d’incident auprès de son prestataire, elle n’a formulé à la suite de cela qu’une seule demande de précision, ce dont la CNIL déduit qu’elle n’a pas procédé au suivi régulier de la résolution de la violation de données auprès de son prestataire.
De plus DARTY n’a remédié au problème qu’après le second contrôle de la CNIL. Elle relève donc un manquement à l’obligation d’assurer la sécurité des données. La CNIL condamne en conséquence DARTY à 100 000 € d’amende et à la publication de la décision.
