• Le consentement des personnes concernées avant le transfert à des tiers : mise en demeure de WhatsApp par la CNIL

Par une délibération du 12 décembre 2017, la CNIL a rendu publique la mise en demeure du 27 novembre 2017 pris à l’encontre de la société WHATSAPP INC.

Est réprouvée la transmission par l’entreprise WHATSAPP à la société FACEBOOK INC de données concernant ses utilisateurs à des fins de « business intelligence ».

La CNIL retient notamment que le consentement des utilisateurs n’est pas valablement recueilli faute d’être libre. En effet la désinstallation de l’application est le seul moyen d’opposition des utilisateurs à la transmission de leurs données pour cette finalité.

• Le fait pour un responsable de traitement de faire appel à un prestataire sous-traitant ne le décharge pas de son obligation de préserver la sécurité des données traitées pour son compte.

Le 8 janvier 2018, la formation restreinte de la CNIL a prononcé une sanction de 100 000 euros à l’égard de la société DARTY pour atteinte à la sécurité des données clients.

Bien que le formulaire fautif ait été développé par un prestataire extérieur, la formation restreinte soulève que cette circonstance « ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte ».

Dans sa délibération, la CNIL relève la négligence de la société DARTY dans la surveillance des actions de son prestataire dans la résolution de la violation mais tient toutefois compte de l’initiative de la société de lancer un audit de sécurité ainsi que sa coopération avec ses services.

Bien que le RGPD, qui entre en application le 25 mai prochain, renforce les obligations du sous-traitant, il ne décharge pas pour autant le responsable de traitement de sa responsabilité. Les responsables de traitement doivent être particulièrement vigilants dans le choix et l’audit de leurs sous-traitants.

• Web Editions : sanction pécuniaire pour atteinte à la sécurité et la confidentialité des données clients

Par une délibération n° SAN-2017-012 du 16 novembre 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 25.000 euros à l’encontre de la société Web Editions pour le manquement à l’obligation d’assurer la sécurité des données.

En effet, la formation restreinte a pu constater qu’il était possible, pour des tiers non autorisés, d’accéder aux formulaires contenus dans les pages de quatre sites internet dont Web Editions est l’éditeur.

La formation restreinte en a déduit un manquement à l’obligation d’assurer la sécurité et la confidentialité des données de ses clients justifiant la condamnation.