Délibération de la formation restreinte de la CNIL, 8 janvier 2018, n° SAN 2018-001.
Dans une décision du 8 janvier 2018, la Formation restreinte de la CNIL a prononcé une sanction de 100.000 € à l'encontre d'une société pour ne pas avoir suffisamment sécurisé les données de clients ayant effectué une demande en ligne de service après-vente.
La Formation restreinte de la CNIL a estimé que la société a manqué à son obligation de sécurité des données personnelles, en méconnaissance de l'article 34 de la loi dite « Informatique et Libertés ».
Elle a considéré que le simple fait que la société fasse appel à un prestataire sous-traitant ne la décharge pas de son obligation de préserver la sécurité des données traitées pour son compte, en sa qualité de responsable du traitement.
La société, en retenant un logiciel standard dit sur étagère, aurait dû s'assurer préalablement que les règles de paramétrage de l'outil mis en œuvre pour son compte ne permettaient pas à des tiers non autorisés d'accéder aux données des clients. Selon la Formation restreinte de la CNIL : « la vérification préalable notamment des règles de filtrage des URL fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques ».
En outre, la Formation restreinte a considéré qu'il appartenait à la société de procéder de façon régulière à la revue des formulaires de demande de service après-vente accessibles et permettant d'alimenter l'outil de gestion des demandes de service après-vente. A ce titre, elle a souligné qu'une bonne pratique en matière de sécurité des systèmes informatiques consiste à désactiver les fonctionnalités ou modules d'un outil qui ne seraient pas utilisés ou pas nécessaires.