CONTACT

Confidentialité et secrets en entreprise : manquement à l’obligation de sécurité et de confidentialité des données des clients

30 novembre 2015 | Derriennic Associés|

Délibération de la CNIL n°2015-379, du 5 novembre 2015.

Saisie d’une plainte en juillet 2014 par une cliente de la société Optical-Center, la CNIL a prononcé le 5 novembre dernier une sanction pécuniaire l’encontre de cette société d’un montant de 50.000 euros et ce, pour manquement à ses obligations de sécurité et de confidentialité.

Tout est donc parti d’une plainte aux termes de laquelle une cliente dénonçait la communication par téléphone du mot de passe de son compte-client internet par la société Optical-Center, laissant ainsi supposer que les mots de passe de comptes clients du site internet étaient stockés en clair dans la base de données de la société.

Après l’exercice d’une mission de contrôle par la CNIL, l’ouverture d’une procédure de mise en demeure, l’audition de la société Optical-Center, l’ouverture d’une seconde mission de contrôle et la désignation d’un rapporteur, la CNIL a, en formation restreinte, prononcé une sanction pécuniaire à l’encontre de la société.

Plusieurs manquements à l’obligation d’assurer la sécurité et la confidentialité des données ont été retenus par la CNIL.
Tout d’abord, la CNIL a retenu un défaut de sécurisation du site internet, notamment de la page d’accueil permettant à l’utilisateur de se connecter à son compte et de la page lui permettant de modifier son mot de passe.

Ensuite, la CNIL a constaté que la mise en demeure d’améliorer la robustesse des mots de passe de ses clients et salariés était restée sans effet, et que la société Optical-Center aurait dû imposer à ses clients le renouvellement de leur mot de passe pour se mettre en conformité et ce, en application d’une nouvelle politique de gestion des mots de passe.

Enfin, la CNIL a relevé que le contrat conclu avec le sous-traitant ne comportait aucune clause relative à la sécurité et la confidentialité des données et que la société Optical-center qui avait été enjoint de prévoir une telle clause, définissant les obligations de son prestataire en la matière et précisant que ce prestataire ne pouvait agir que sur son instruction, n’avait rien fait.

Sur cette base et compte tenu « du nombre de personnes concernées par les traitements en cause et la sensibilité des données », la CNIL a décidé de prononcer une sanction pécuniaire d’un montant de 50.000 euros et de rendre publique sa délibération.

articles similaires

Février 2016 | Derriennic Associés

Pratiques interdites en matière de traitement de données à caractère personnel dans le cadre de la constitution d’une base de données et sa location à des tiers à des fins de prospection commerciale

Par une délibération du 21 décembre 2015 (n°2015-454), la CNIL a mis en exergue tout ce qu’il ne faut pas faire, en matière de traitement de données à caractère personnel

Octobre 2015 | Derriennic Associés

Le SAFE HARBOR n’est plus !

Jusqu’à la décision rendue le 6 octobre 2015 par la CJUE, les transferts de données à caractère personnel vers les Etats-Unis étaient autorisés, dès lors que l’entreprise destinatrice avait adhéré...