• Délibération n° SAN-017-010 du 18 juillet 2017 à l’encontre de la société Hertz France : sanction financière du fait du manquement du sous-traitant.

La CNIL a constaté une violation de données à caractère personnel sur le site internet de la société Hertz. En effet, les agents de la CNIL ont pu accéder librement, à partir d’une adresse URL, aux données personnelles renseignées par 35 357 personnes inscrites sur le site de la carte de réduction Hertz. A la suite d’investigations, la CNIL a pu constater que cette faille résultait d’une erreur commise par le prestataire lors d’une opération de changement de serveur.

Cette sanction est la première prononcée depuis l’adoption de la loi pour une République numérique du 7 octobre 2016. Avant celle-ci, dans un tel cas, seul un avertissement pouvait être délivré. En l’espèce, une sanction de 40.000 euros a été prononcée dans la mesure où le manquement constaté ne pouvant faire l’objet d’une mise en conformité.

Cette sanction rappelle l’importance du rôle du responsable du traitement qui reste responsable et redevable de la conformité du traitement, même en cas de recours à un sous-traitant. Cette notion ne fera que s’accentuer avec l’application du Règlement européen sur la protection des données (RGPD) qui renforce les obligations devant être prévues dans le contrat qui lie le responsable de traitement à son sous-traitant.

En outre, si le RGPD renforce les obligations pesant sur le sous-traitant, il ne change pas le principe qui reste que le responsable de traitement est redevable de la conformité du traitement et il accroit les sanctions pouvant être prononcées.

• Délibération n° SAN-017-011 du 20 juillet 2017 à l’encontre de la société OUICAR : avertissement pour violation des données personnelles.

La CNIL a été informée de l’existence d’une violation de données à caractère personnel à partir du site ouicar.fr, une plateforme de location de véhicules entre particuliers. Des informations relatives aux utilisateurs du site sont restées librement accessibles pendant trois ans, via la saisie dans la barre du navigateur d’une adresse en modifiant la variable correspondant à l’identifiant de chaque utilisateur.

La CNIL a sanctionné le manquement à l’obligation de sécurité. Toutefois, les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique, seul un avertissement a été prononcé à l’encontre de la société.

Désormais, une sanction pécuniaire pourrait être prononcée comme pour la société Hertz. Au surplus, avec l’entrée en vigueur du Règlement européen sur la protection des données (RGPD) le montant des sanctions est accru pouvant s’élever jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial total de l’exercice précédent pour un manquement à l’obligation de sécurité. Il convient de rappeler que ces sanctions peuvent être portées à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent pour des manquements aux principes de bases d’un traitement ou la violation des droits des personnes concernées.

• Délibération n° SAN-2017-09 du 15 juin 2017 à l’encontre de la société BDE : sanction pécuniaire notamment pour non coopération avec la CNIL.

La CNIL a prononcé une sanction de 1 000 euros à l’encontre de la société BDE spécialisée dans la réalisation de travaux d’étanchéification, pour non-conformité de son dispositif de vidéosurveillance avec la loi Informatique et Libertés mais également pour son absence de coopération avec la CNIL.

En effet, la CNIL avait demandé à la société BDE de mettre son dispositif en conformité notamment en ne collectant que des données non excessives et pertinentes, en sécurisant l’accès au logiciel de visualisation des images et enfin en effectuant une déclaration de ce dispositif auprès de la CNIL.

Toutefois, la société ne s’est pas mise en conformité. En outre, la CNIL relève que la société a fait preuve d’un défaut manifeste de prise en compte des questions Informatique et Libertés et a méconnu son obligation de coopération avec la CNIL.

La CNIL a non seulement prononcé une sanction pécuniaire de 1 000 euros mais elle a rendu sa décision publique pour rappeler l’obligation des responsables de traitement de coopérer avec les autorités de contrôle en matière de protection des données personnelles.

Cette obligation ne fera que s’accentuer avec l’application du Règlement européen sur la protection des données (RGPD) qui renforce le principe « d’accountability » et l’obligation du responsable de traitement de s’assurer, et d’être en mesure de démontrer, que le traitement est effectué conformément aux principes de protection des données. 
* * 

Ces trois dernières décisions de sanction prononcées par la CNIL insistent sur l’importance du rôle du responsable de traitement. Elles illustrent également l’importance pour les acteurs d’être en mesure de démontrer qu’ils ont pris en compte les principes de protection des données (accountability) et qu’ils sont prêts à coopérer avec l’autorité compétente.