Saisie sur information de l’éditeur d’un site internet spécialisé dans la sécurité des systèmes d’information, pour violation de données personnelles de clients à partir d’un formulaire de service après-vente d’un grand distributeur, la CNIL se prononce sur la qualité de « responsable des traitements de données ».
Par sa Délibération n°SAN-2018-001 du 8 janvier 2018 (accessible in extenso ICI), la CNIL décide, selon une appréciation in concreto, que le responsable du traitement de données est l’entreprise commanditaire des prestations et non son sous-traitant et ce, aux motifs que :
- la seule finalité du traitement de données est celle poursuivie et déterminée par le distributeur pour le compte de ses clients dont les données sont collectées
- Le distributeur a, au moins pour partie déterminé les moyens de traitement de données en choisissant de recourir à la solution de gestion proposée par son sous-traitant pour les demandes de service après-vente, les données contenues dans le formulaire étant celles de ses seuls clients
Le distributeur est en conséquence qualifié de responsable de traitement en ce qu’il détermine la finalité et les moyens du traitement des données.
En sa qualité de responsable du traitement, il lui appartenait de s’assurer que son sous-traitant présentait toutes les garanties de confidentialité requises. En décidant de retenir un logiciel standard dit sur étagère proposé par son prestataire, il appartenait au distributeur de s’assurer aussi du respect des règles de sécurité des données.
la CNIL constate que le manquement à la sécurité et à la confidentialité est grave en raison de la multitude de catégories de données traitées qui révèlent des informations sur les personnes et leur vie privée, au travers notamment des commandes passées, et prononce en conséquence une sanction pécuniaire de 100.000 euros, assortie de la publication de la décision non anonymisée durant une période de 2 ans.