Darty : 38M€ d’amende par la CNIL à l’ère RGPD ?

2018 débute difficilement pour l’enseigne Darty qui écope d’une sanction administrative à hauteur de 100 000 euros pour ne pas avoir suffisamment sécurisé les données de ses clients, un comble quand on sait que le slogan fétiche associé à la marque n’est autre que le « Contrat de Confiance ».

Pour comprendre cette décision, reprenons du début :

  1. En février 2017, l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information informe la CNIL[1] d’une violation de données à caractère personnel à partir d’une URL de l’enseigne Darty, celle-ci permettant d’accéder à plusieurs milliers de données de clients de la société.
  2. En mars 2017 la CNIL procède à des contrôles en ligne, ainsi que des contrôles sur place, ceux-ci ayant entrainé la constatation d’une réelle défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients de la société via un formulaire en ligne de demande de service après-vente : 912 938 fiches étaient potentiellement accessibles, contenant : nom, prénom, adresse postale, adresse de messagerie électronique, commandes.

Il n’y a pas que le risque de contrôle aléatoire par la CNIL, mais également le risque de dénonciation par tiers, et pourquoi pas par un concurrent.

Rappelons qu’une violation de données à caractère personnel entraîne de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. Ainsi, à titre d’exemple, le simple envoi d’un fichier client à une mauvaise personne externe à l’entreprise peut être constitutif d’une violation de données à caractère personnel.

Gue-guerre de responsabilité : Darty tente de botter en touche

Suite à ses contrôles, la CNIL s’est rapprochée de Darty afin que celle-ci, en tant que responsable de traitement, remédie à la situation. La revendication by Darty ? La société ne gère pas directement le formulaire de SAV litigieux mais a recourt à un prestataire, la société EPTICA, pour la gestion de l’ensemble de ses demandes de service après-vente de ses clients.  EPTICA s’est arrogée certains pouvoirs de responsable de traitement en développant le formulaire en partie en dehors du cadre du cahier des charges la liant à Darty, et pour son propre compte, devant alors être considérée comme tel.

Néanmoins Darty a rapidement contacté son prestataire afin qu’il prenne les mesures nécessaires avant d’aller rechercher la clémence de la CNIL.

Darty, bien que bon joueur, ne parvient pas à éviter la sanction

La CNIL a rappelé que la notion de responsable de traitement devant être interprétée in concreto[2] : « Être responsable du traitement résulte essentiellement du fait qu’une entité a choisi de traiter des données à caractère personnel pour des finalités qui lui sont propres. »[3]. Dans les faits Darty a fait appel aux services de la société EPTICA pour la gestion et le traitement des demandes de service après-vente de ses clients et est donc responsable de traitement, EPTICA n’étant « que » sous-traitant. C’était donc à la société du contrat de confiance, en sa qualité de responsable de traitement, de s’assurer et de vérifier que l’outil développé par la société EPTICA répondait notamment à l’obligation de confidentialité énoncé à l’article 34 de la loi « Informatique et Libertés ».

Cette affaire n’est pas sans rappeler celle du groupe Hertz France qui, en juillet 2017, a écopé d’une sanction pécuniaire de 40.000 euros suite à une violation de données personnelles sur l’un de ses sites en raison d’une erreur commise par un prestataire, la CNIL estimant que la société avait manqué à son obligation de sécurité des données.

Il a été considéré in fine que Darty avait fait preuve de négligence dans la surveillance des actions de son sous-traitant, ce qui a permis l’accessibilité de données à caractère personnel variées, mais heureusement hors donnée bancaires et sensibles.[4]

Plus grande coopération = plus petit chèque ?

La CNIL a noté la bonne coopération de la société Darty, celle-ci ayant mis fin à la violation dans « des délais raisonnables ». Darty a par ailleurs fait le bon élève en prenant l’initiative de procéder à un audit de sécurité quelques mois après la violation de données sur la nouvelle version de l’outil de gestion des demandes de service après-vente proposé par son prestataire. C’est au regard de ces éléments que la CNIL a sanctionné Darty d’une amende de 100.000 euros « seulement »[5], soit la moitié de ce qui était proposé au départ.

Pas envie de passer sur le grill ?

Cliquez-ici !

Quelle aurait pu être la sanction sous l’empire du RGPD[6] ?

Le RGPD, qui entre en application le 25 mai 2018, a – comme vous le savez tous (si si, on vous en parlait ici par exemple avec le cas Facebook) – augmenté le seuil des sanctions maximales, celles-ci pouvant s’élever jusqu’à 4% du chiffre annuel mondial de l’entreprise ou 20 000 000 d’euros, le montant le plus élevé étant retenu.

Mais, concrètement, comment pourrait-t-on calculer le montant de la sanction à appliquer ? Allez, on se lance :

  • Les critères de l’article 83 du RGPD ;
  • Un petit tableau ;
  • Un postulat :
    • Pour chaque critère de sanction, un nombre de point est attribué en fonction de la gravité (de 0 à 3), pour un maximum de 42/42 (3 points x 14 critères), le 42 étant la pire des notes possibles ;
    • Le respect du RGPD est le principe de base, et n’apporte donc pas de point. Ex: la coopération totale avec la CNIL devrait être systématique, elle n’apporte pas de « point négatif » pour diminuer la note sur 42. En revanche une coopération incomplète ajoute un point ;
    • Le pourcentage de points obtenus sur les 42 potentiels donne le pourcentage à retenir comme base de la sanction maximale (20M€ ou 4% du CA) ;
  • Et hop!
CRITÈRES DE SANCTION NEUTRE OU NON APPLICABLE

+0

FAIBLE

+1

MOYEN

+2

GRAVE

+3

1 FONDEMENT NON APPLICABLE ARTICLE 83(4) ARTICLE 83(5) « FORME » DES TRAITEMENTS (EX: ARTICLES 12 À 22) ARTICLE 83(5) « FOND » DES TRAITEMENTS (EX: ARTICLES 5 ET 6)
2 TYPE FORCE MAJEURE ACCIDENTEL PAR NÉGLIGENCE DÉLIBÉRÉ
3 VOLUME / GRAVITÉ – 10K PERSONNES ENTRE 10K ET 20K PERSONNES ENTRE 20K ET 30K PERSONNES + 30K PERSONNES
4 DURÉE ≈ 72 HEURES ≈ 10 JOURS ≈ 1/2 MOIS ≈ 3 MOIS ET +
5 TEMPS DE RÉACTION ≈ 72 HEURES ≈ 15 JOURS ≈ 1 MOIS ≈ 1 MOIS ET +
6 MESURES PRISES RESPECT DU « PROCESS NOTIFICATION DES VIOLATIONS DE DONNÉES » (ART. 33 ET 34) / MESURES TECHNIQUES ET ORGANISATIONNELLES MESURES TECHNIQUES UNIQUEMENT (EX: CHIFFREMENT, ANONYMISATION OU RENOUVELLEMENT DES DONNÉES PAR LE RT) MESURES ORGANISATIONNELLES UNIQUEMENT (EX: INVITER LES PERSONNES CONCERNÉES À EFFECTUER UNE ACTION) AUCUNE MESURE PRISE
7 DEGRÉ DE RESPONSABILITÉ – 20% ENTRE 20% ET 40% ENTRE 40% ET 60% 60% ET +
8 ANTÉCÉDENTS NON APPLICABLE / VIOLATION SANS AUCUN RAPPORT VIOLATION SANS RAPPORT DIRECT VIOLATION PARTIELLEMENT EN RAPPORT VIOLATION TRÈS PROCHE / IDENTIQUE
9 COOPÉRATION TOTALE PARTIELLE MINIME VOIRE ABSENTE OBSTRUCTION
10 CATÉGORIES DES DONNÉES DONNÉES INDIRECTEMENT IDENTIFIANTES / FAIBLEMENT IDENTIFIANTES DONNÉES DIRECTEMENT IDENTIFIANTES NON SENSIBLES DONNÉES DIRECTEMENT IDENTIFIANTES SENSIBLES AU SENS COURANT (EX: COORDONNÉES BANCAIRES, HABITUDES DE VIE, ETC.) DONNÉES SENSIBLES / PARTICULIÈRES AU SENS DU RGPD
11 ORIGINE DE L’INFORMATION CNIL RESPONSABLE DE TRAITEMENT CNIL TIERS (HORS PERSONNÉE CONCERNÉE) PERSONNE CONCERNÉE
12 MESURES CORRECTRICES ANTÉRIEURES (ARTICLE 58) NON APPLICABLE MESURES APPLIQUÉES MESURES PARTIELLEMENT APPLIQUÉES MESURES NON APPLIQUÉES
13 CODE DE CONDUITE ABSENCE DE CODE DE CONDUITE CODE DE CONDUITE N’ÉTANT PAS D’APPLICATION GÉNÉRALE (ARTICLE 40(5)) CODE DE CONDUITE N’ÉTANT PAS D’APPLICATION GÉNÉRALE AUQUEL LE RT SE RÉFÈRE (ARTICLE 40(3)) CODE DE CONDUITE D’APPLICATION GÉNÉRALE (ARTICLE 40(9))
14 CIRCONSTANCES AGGRAVANTES NON APPLICABLE TENTATIVE D’ÉVITEMENT D’UNE PERTE OU D’OBTENTION D’UN AVANTAGE PERTE ÉVITÉE (IMAGE, FINANCES, ETC.) AVANTAGE OBTENU (IMAGE, FINANCES, ETC.)

Roulement de tambours !

Avec ces règles de fonctionnement, Darty obtient la note de 17/42 soit environ 40% de la note maximale, ce qui donne :

  • Sanction base euros : 40% de 20M€ = environ 8M€ ;
  • Sanction base chiffre d’affaires : 40% de 4% du CA de Darty de 2,4Mds€ = environ 38M€.

Si on divise la première proposition par deux comme l’a fait la CNIL, Darty pourrait écoper sous le RGPD de 4M€ ou 19M€ sur prise en compte de son CA. Et vous, à quelle hauteur sanctionneriez-vous Darty ?

On en discute ?

Sources et notes

[1] Commission nationale de l’Informatique et des Libertés.
[2] Référence à une analyse concrète de la situation.
[3] Avis du Groupe de travail de l’article 29 (dit G29) 1/2010 du 16 février 2010.
[4] La CNIL s’est appuyée sur une analyse de 7 417 fiches sur 912938.
[5] Délibération de la formation restreinte n° SAN-2018-001 du 08/01/2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS
[6] Règlement 2016/679 du 27 avril 2016.
By | 2018-06-27T13:38:52+00:00 27 février 2018|Risques CNIL|