Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432 - 49

Magazine

Condamnation de Darty :

une leçon de sécurité par la Cnil
En tant que responsable d'un traitement de données
à caractère personnel, la société qui fait appel à un
prestataire ne doit pas se désintéresser de la sécurité de
son site de commerce électronique mais doit surveiller
ses actions et surtout réagir promptement en cas
d'atteintes aux données constatées suite à un contrôle
de la Cnil. Cette dernière a estimé que Darty n'avait
pas procédé à un suivi de la résolution de la violation
par son prestataire et n'avait donc pas pris toutes
les précautions utiles afin d'empêcher un tiers non
autorisé d'accéder aux données. Pour la Cnil, il s'agit
d'un manquement grave à son obligation de sécurité
et de confidentialité des données. Le 8 janvier 2018, elle
a donc prononcé une sanction pécuniaire de 100 000 €.
La Cnil avait été alertée par un site spécialisé en
matière de sécurité du fait que le site de Darty permettait
d'accéder aux milliers de données de clients, à partir
d'une url contenant un identifiant (un numéro de ticket).
En modifiant ce numéro, il était possible d'accéder à
d'autres formulaires de clients contenant leurs données
personnelles. Plus de 900 000 fiches de clients étaient
ainsi potentiellement accessibles. Après en avoir
informé Darty suite à un contrôle en ligne, elle a
procédé à un contrôle sur place pour s'assurer que des
mesures correctrices avaient été prises. Ce n'est que le
lendemain de cette opération que Darty a indiqué que
les mesures de sécurisation avaient été mises en place.
Une semaine avant, elle avait averti son prestataire
Eptica du problème et ce dernier avait indiqué que les
modifications étaient difficiles à mettre en place.
Darty s'est d'abord défendu d'être le responsable du
traitement dans la mesure où il n'avait pas déterminé
tous les moyens à mettre en œuvre ; le prestataire ayant
pris l'initiative de développer le formulaire de demande
de service après-vente via cette url. Or, rappelle la Cnil,
l'ensemble des formulaires se rattachent à un seul

traitement dont Darty a déterminé la finalité unique
de suivi des demandes des clients et dont il a choisi les
moyens de traitement, à savoir la solution développée
par Eptica.
Sur la responsabilité de Darty, la Cnil estime
qu' « il appartient à la société, en sa qualité de
responsable de traitement, de s'assurer et de vérifier
que toutes les composantes et options de l'outil
de gestion des demandes de service après-vente
développées par la société EPTICA répondaient à
l'obligation de confidentialité énoncée à l'article 34 de
la loi précitée. Au besoin et en application de règles de
bonnes pratiques en matière informatique, il revenait
à la société de faire désactiver tous les modules
inutilement mis en œuvre par son prestataire ».
Et sur son obligation d'assurer la sécurité des données,
la formation restreinte de la Cnil considère que Darty
qui avait choisi un logiciel standard de son prestataire
aurait dû vérifier ses caractéristiques. Cela aurait
permis d'identifier le risque d'accès aux données des
clients. La Cnil rappelle que l'établissement de règles
de filtrage des URL fait partie des tests élémentaires qui
doivent être réalisés par le client en matière de sécurité
des systèmes informatiques. En outre, la formation
restreinte considère qu'il appartenait à Darty de
procéder de façon régulière à la revue des formulaires
de demande de service après-vente accessibles et
permettant d'alimenter l'outil de gestion des demandes
de service après-vente.
La Cnil relève également que Darty avait fait preuve
de négligence dans la surveillance des actions de son
prestataire dans la résolution de la violation, puisque ce
n'est qu'après contrôle sur place que le problème a pris
fin. Elle déplore également que le distributeur n'ait pas
procédé à un suivi régulier de la résolution de la faille
par le prestataire. La Cnil en conclut que Darty n'a pas
pris toutes les précautions utiles afin d'empêcher des
tiers non autorisés d'accéder aux données et a ainsi
méconnu ses obligations au titre de l'article 34 de la loi.

GÉOLOCALISATION : UTILISATION ILLICITE DES
DONNÉES POUR LE CONTRÔLE DU TEMPS DE TRAVAIL
Dans sa décision du 15 décembre 2017,
le Conseil d'Etat a estimé que
« l'utilisation par un employeur d'un
système de géolocalisation pour
assurer le contrôle de la durée du
travail de ses salariés n'est licite que
lorsque ce contrôle ne peut pas être
fait par un autre moyen, fût-il moins
efficace que la géolocalisation. En
dehors de cette hypothèse, la collecte
et le traitement de telles données à des
fins de contrôle du temps de travail
doivent être regardés comme excessifs
au sens du 3° de l'article 6 de la loi
du 6 janvier 1978 ». Il a donc rejeté la
demande d'annulation de la décision

de la Cnil qui avait mis en demeure
l'employeur en cause de cesser de
traiter les données issues du système
de géolocalisation.
La société Odeolis, spécialisée
dans la maintenance des systèmes
informatiques, avait équipé les
véhicules utilisés par ses techniciens
itinérants d'un outil de géolocalisation
en temps réel. Suite à un contrôle sur
place, la Cnil avait mis en demeure la
société de cesser de traiter les données
issues du système de géolocalisation
pour contrôler le temps de travail. Le
Conseil d'Etat a approuvé la décision
de la Cnil en se fondant sur l'article 6
EXPERTISES FÉVRIER 2018

de la loi de 1978 qui impose une collecte
loyale et licite des données qui doivent
être adéquates, pertinentes et non
excessives par rapport aux finalités
du traitement et sur l'article L. 1121-1 du
code du travail qui prévoit que « nul ne
peut apporter aux droits des personnes
et aux libertés individuelles et
collectives de restrictions qui ne
seraient pas justifiées par la nature de
la tâche à accomplir ni proportionnées
au but recherché ». Par ailleurs, le
Conseil d'Etat rappelle que si la
décision de la Cnil proscrit un usage
lié au contrôle du temps de travail,
elle n'interdit pas à la société de traiter
les données afin de procéder à la
facturation des prestations aux clients.

49



Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Février 2018 - n°432

https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com