12
01 2018

  .  Par Maxime BUREAU

DARTY vs. CNIL : bienvenue (plus tôt que prévu) dans l’ère RGPD

Et dire que l’on entend encore des dirigeants d’entreprise RGPD-sceptiques, spéculant à tout va sur des hypothétiques carences de contrôles de la CNIL et, par aboutissement d’idée, sur l’absence de sanctions réelles et efficientes. Pas sûr que la direction du groupe FNAC DARTY fasse encore partie de cette « espèce ».

Pour rappel des faits, la CNIL a été amenée à contrôler la Société DARTY en mars 2017  dès suite de la découverte d’une faille de sécurité informatique dans ses formulaires de services après-vente. Cette défaillance permettait un accès libre à la totalité des requêtes S.A.V. , et des données personnelles qu’elles contiennent, via un formulaire en ligne. Ainsi, « plusieurs centaines de milliers de demandes ou réclamations contenant des données telles que les noms, prénoms, adresses postales, adresses de messagerie électronique ou numéros de téléphone des clients étaient potentiellement accessibles » chiffre la Commission. Suite à ce contrôle et la constatation de cette défaillance, la société contrôlée n’a opéré aucun rectificatif. C’est lors du second contrôle de la CNIL (synonyme de sanctions éventuelles) que la société d’électroménagers s’est alors défendue d’avoir intégré les clauses nécessaires à la protection des données personnelles dans le cahier des charges de son prestataire informatique et a ainsi engagé la responsabilité de ce dernier. La formation restreinte de la CNIL a alors rappelé que la sous-traitance ne déresponsabilise en rien le responsable du traitement des données. DARTY a fait preuve de négligence dans son obligation de sécurisation de ses traitements de données dont elle est responsable (en sa qualité de « responsable de traitement »). Le 8 janvier 2018, la formation restreinte de la CNIL l’a alors condamné à une sanction pécuniaire d’un montant de 100.000 euros, estimant que la société avait « manqué à son obligation de sécurité des données personnelles », en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Qu’on se le dise, le chemin vers le RGPD est déjà tout tracé dans l’esprit de la Commission Nationale de l’Informatique et des Libertés. Là où l’article 34 s’applique aujourd’hui, l’article 28 du RGPD sur la responsabilité solidaire des responsables et leurs sous-traitants s’appliquera demain. Il est donc temps pour nous de se plier aux règles du jeu. Le RGPD est un élément positif qui vient s’incorporer (en douceur) dans le paysage numérique européen et il doit être accueilli comme tel. Au delà des volontés de protectorat de l’économie numérique européenne vis-à-vis des cadors américains (GAFA-NATU), il apporte une valeur fondamentale à la notion de vie privée et, par cela même, une responsabilisation des entreprises sur l’importance d’une protection des données à caractère personnel, réelles émanations de cette « vie privée ». Il est donc primordiale d’en maîtriser rapidement tous les tenants et aboutissants. L’affaire DARTY nous rappelle ici l’importance des notions clés de la protection des données personnelles : la « donnée », le « traitement », le « responsable de traitement », le « sous-traitant » etc. et le jeu des responsabilités qui en découle. Sans ces notions, le RGPD ne peut être bien appréhendé, comme le montre l’ignorance de la société d’électroménagers quant à son rôle de « responsable de traitement ». Sur ce cas, nous sommes presque face à un (très courant) aveu de mépris de la législation sur la  protection de la donnée, ou tout du moins de son importance fondamentale.

De plus, cette affaire de sanction, qui a déjà fait couler beaucoup d’encre en ce début d’année, n’est rien en comparaison à ce que sera la première sanction post-RGPD de la CNIL. Avec une force de frappe supplémentaire (rappel : 20 Millions d’euros ou 4% du CA mondiale) et une légitimité accrue, la CNIL ne pourra que mener à bien sa mission de police de la donnée. D’autant qu’elle sera bientôt libérée de ses fonctions administratives et chronophages imposées par le système déclaratif de la loi de 1978. Les contrôleurs de la Commission pourront donc s’investir davantage dans leurs missions de régulation et de sanctions, qu’elles soient pécuniaires, pénales, opérationnelles ou bien médiatiques.

Si vous n’êtes toujours pas convaincu, reportez-vous au visuel du cabinet Avoconseil vous proposant un parallèle séduisant entre les risques de non-respect du RGPD et les opportunités apportées par la mise en conformité. Il vous sera alors intéressant de constater que chaque risque encouru par votre non-conformité à un pendant totalement positif en cas de conformité. Vous ne pourrez désormais plus être spectateur de cette révolution de la data protection, il vous faudra soit agir, soit subir.

Il ne nous reste plus qu’à souhaiter une bonne année 2018 (« année de la conformité ») à la société DARTY, et à rappeler à tous les responsables de traitements de données personnelles qu’il vous reste très exactement 134 jours pour vous mettre en conformité, faites vite ! Le RGPD, c’est plus qu’une obligation, c’est un devoir citoyen.