Darty sanctionné par la CNIL pour ne pas avoir protégé ses données clients Darty sanctionné par la CNIL pour ne pas avoir protégé ses données clients

Darty sanctionné par la CNIL pour ne pas avoir protégé ses données clients

Le 8 janvier 2018, la Commission national de l’informatique et des libertés (CNIL) a condamné la société Darty au paiement d’une amende de 100 000 € pour avoir manqué à son obligation de protection des données personnelles de ses utilisateurs.

Vous êtes un professionnel et vous souhaitez mettre en conformité en matière de protection des données, le cabinet Avomedias vous accompagne dans votre pratique relative à la vie privée.

Récapitulatif de l’affaire

La société Darty a fait appel à un prestataire externe pour développer un formulaire de demande de service après-vente en ligne. Cependant, ce dernier possédait une défaillance de sécurité donnant la possibilité à n’importe quel tiers d’accéder librement à des milliers de demandes ou de réclamations contenant des données personnelles comme les noms, prénoms, adresses postales, adresses de messagerie électronique ou numéros de téléphone des clients.

La CNIL a été saisie en février 2017 par un éditeur spécialisé dans la sécurité des systèmes d’information à la suite de la connaissance de ce problème.

Ensuite, une délégation de cette autorité a procédé à des contrôles en ligne et sur place au sein des locaux de la société dans le courant du mois de mars 2017. Les enquêtes ont ainsi permis de prouver que des fuites de données avaient bien eu lieu.

La CNIL a alors sanctionné la société Darty pour ne pas avoir suffisamment sécurisé les données de ses clients au regard de l’article 34 de la loi du 6 janvier 1978 qui dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Certes, ce n’est pas la société Darty qui a mis en place ce formulaire, mais elle aurait dû s’assurer préalablement de son efficacité et de la sécurité du système. L’autorité a retenu que la société avait fait preuve de négligence dans la surveillance des actions de son prestataire. L’autorité a statué dans la continuité de la jurisprudence. En effet, le Conseil d’État dans un arrêt « Société Total raffinage marketing et société X » du 11 mars 2015, avait retenu que « des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte ».

La CNIL a prononcé une sanction pécuniaire à l’encontre de la société Darty de 100 000 € et a décidé de rendre publique sa délibération, qui sera anonymisée à l’expiration d’un délai de deux ans à compter de sa publication. Ce processus a été motivé par la volonté de sensibiliser les internautes quant aux risques pesant sur la sécurité de leurs données.

Pour allouer cette sanction, la CNIL a pris en compte la nature des données et a jugé que la fuite de données ne comprenait pas des données sensibles, ce qui a allégé la sanction. De plus, la société Darty a réagi rapidement pour résoudre le problème et n’est pas restée passive, ce qui a également été pris en compte dans le montant de la sanction.

Il est donc judicieux de mettre en conformité ses pratiques commerciales pour ne pas se voir sanctionner par la CNIL comme ça a été le cas pour de nombreux professionnels et entreprises.

En 2021, 18 sanctions dont 1 non-lieu et 17 projets de sanctions européens examinés par la CNIL ont été prononcés.

Les obligations mises en place par le RGPD

Le Règlement général sur la protection des données en date du 27 avril 2016 encadre les pratiques qui collectent et traitent les données personnelles des personnes physiques. Il va s’appliquer à tous les professionnels qui procèdent au traitement de données à caractère personnel.

Le chapitre IV de ce Règlement énonce les obligations imputées aux responsables du traitement et sous-traitant. Notamment, l’article 32 encadre la notion de sécurité du traitement et dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque […] ».

Les responsables de traitement ont donc de nombreuses obligations à l’égard des utilisateurs comme :

  • L’obligation générale de sécurité et de confidentialité: le responsable de traitement doit mettre en place des mesures protégeant les données personnelles à tous les stades de la collecte et du traitement en limitant le traitement dans le temps et en termes de quantité.
  • L’obligation d’information : les utilisateurs doivent recevoir l’information qui entoure la collecte et le traitement de leurs données.
  • Réalisation d’analyse d’impact: cette étude d’impact sur la vie privée évalue les risques potentiels.
  • Désignation d’un délégué à la protection des données: cette personne est désignée obligatoirement dans certains cas et doit procède à de nombreuses missions pour protéger les données personnelles des utilisateurs.

Par conséquent, le professionnel est responsable des problèmes qui peuvent naître à la suite d’une fuite de données par exemple.

Les potentielles sanctions encourues

En cas de non-respect des exigences posées par le RGPD, la CNIL peut sanctionner les professionnels au regard de la loi République numérique du 7 octobre 2016. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial. De plus, comme vu précédemment, les sanctions peuvent être rendues publiques, ce qui peut venir ternir l’image d’une entreprise.

De plus, la formation restreinte de la CNIL peut également en cas de manquement à des dispositions du RGPD ou à la loi :

  • Prononcer un rappel à l’ordre ;
  • Enjoindre de mettre le traitement en conformité, y compris sous astreinte ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
  • Prononcer une amende administrative.

Les professionnels ou entreprises contrôlées possèdent tout de même des voies de recours. A compté de la date de notification de la décision de la formation restreinte, l’organisme mis en cause dispose d’un délai de 2 mois pour former un recours devant le Conseil d’État contre la décision.

En tant que professionnel, il est donc primordial de mettre en conformité ses pratiques commerciales que ce soit en ligne ou en vente physique pour éviter toute sanction en cas de non-respect des mesures mise en place par le RGPD.

Le cabinet Avomedias vous accompagne dans le cadre de la mise en conformité de votre entité aux législations nationales et européennes et vous assiste également en cas de contrôle.

Me Steve OUTMEZGUINE

Me Steve OUTMEZGUINE

Fondateur du Cabinet Avomedias

Contactez nous

[email protected]
01 84 14 52 02

Notre adresse

47 Avenue Hoche
75008 Paris

Prendre rendez-vous

Prenez rendez-vous par téléphone
Du lundi a vendredi de 9h a 19h

Nous écrire
01 84 14 52 02

Avec votre consentement nous utilisons des cookies pour faciliter votre expérience avec nos services et analyser notre trafic. Vous pouvez gérer ou retirer votre consentement à tout moment. Vous pouvez paramétrer les cookies en cliquant sur le bouton ci-dessous. Pour plus d’informations sur l’utilisation des cookies, vous pouvez consulter notre Politique des cookies.