En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Edition 2018 des salons Solutions RH

    L’édition 2018 du rendez-vous de toute la communauté RH, avec 3 grandes manifestations aura lieu…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site vitrine pour une association
    A déterminer €
    > En savoir plus
  • Création d'un site eCommerce pour une entreprise spécialisée dans le funéraire
    A déterminer €
    > En savoir plus
  • Refonte d'un site E-commerce pour une société existant depuis 1957
    A déterminer €
    > En savoir plus
Innovaphone_AnywhereWorkplace_leaderboard

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL

elo_processur pointe_pave

Par une décision du 13 avril 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société ALLOCAB en raison de la persistance du manquement à plusieurs de ses obligations imposées par la loi Informatique et Libertés. Amira Bounedjoum, avocat département IP/IT du cabinet SIMON ASSOCIES, décrypte la décision.

LES FAITS

La société ALLOCAB, société spécialisée dans le transport de particuliers, a fait l’objet d’une plainte adressée à la CNIL, le 16 janvier 2015, par un client de la société. Ce dernier s’est notamment plaint de la conservation de ses coordonnées bancaires lors du paiement de ses réservations en ligne. Suite à cette plainte, une mission de contrôle sur place a été diligentée au sein des locaux de la société ALLOCAB. A cette occasion, de nombreux manquements à la loi Informatique et Libertés ont été constatés.

LES MANQUEMENTS CONSTATÉS

Manquement à l’obligation de déterminer une durée de conservation adéquate

L’article 6-5° de la loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Au cas particulier, la CNIL a constaté, lors du contrôle sur place, qu’ALLOCAB conservait l’ensemble des données pendant une période excessivement longue. Elle conservait par exemple l’ensemble des données de comptes inactifs depuis quinze mois ou plus.

La société conservait, en outre, les données relatives au cryptogramme des cartes bancaires des utilisateurs après la transaction.

Elle a ainsi été mise en demeure de définir une durée de conservation des données présentes en base, en fonction des finalités pour lesquelles elles sont collectées et, en particulier, veiller à ce que les données relatives au cryptogramme ne soient pas conservées au-delà du temps nécessaire à la réalisation de la transaction ainsi que procéder à la purge des données des clients ayant demandé la suppression de leurs comptes.

En défense, la société a soulevé le fait que la conservation de ces données était notamment dû à une contrainte technique imposée par son prestataire de paiement.

Restée un temps inactive et n’ayant donné suite à un courrier complémentaire de la présidente de la CNIL, la société a finalement produit un constat d’huissier – postérieur à l’échéance du délai imparti par la mise en demeure – démontrant qu’elle s’était conformée aux demandes de la CNIL.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de conserver les données pendant une durée proportionnelle à la finalité poursuivie était caractérisé.

Manquement à l’obligation d’assurer la sécurité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Lors du contrôle de la CNIL, la Commission a constaté que les mots de passe des utilisateurs étaient communiqués en clair lors de la procédure de confirmation.

Une telle communication du mot de passe constitue une atteinte à la confidentialité de celui-ci.

En outre, il a été constaté que le système d’information d’ALLOCAB acceptait des mots de passe composés d’un seul caractère.

Dès lors, la CNIL a mis en demeure ALLOCAB de mettre en place les mesures suivantes afin de remédier à ce manquement :

  • modifier la procédure de confirmation du mot de passe des utilisateurs pour qu’il ne soit plus communiqué en clair. La CNIL a proposé d’envoyer par courrier électronique soit un mot de passe aléatoire qui ne serait utilisable qu’une seule fois, soit un lien vers une page permettant de définir un nouveau mot de passe ;
  • mettre en place un mécanisme de hachage des mots de passe stockés en base de données couplé à l’utilisation d’un sel qui devra faire l’objet d’un stockage sur un espace distinct de celui dans lequel sont stockés les mots de passe ;
  • imposer, pour chaque mot de passe, une robustesse suffisante.

Le constat d’huissier produit par ALLOCAB attestait du fait qu’elle s’était également conformée aux demandes de la CNIL sur ce point.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de sécurité était caractérisé.

LA DECISION DE LA CNIL

A l’issue de son instruction, le rapporteur a fait part de ses observations le 13 janvier 2017. Son rapport détaillait les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce et proposait à la CNIL de prononcer une sanction pécuniaire de 50 000 euros, rendue publique.

Considérant que les manquements aux articles 6-5° et 34 de la loi Informatique et Libertés ont persisté au-delà de l’échéance du délai imparti par la mise en demeure, et tenant compte du fait que la société s’était depuis mise en conformité, la formation restreinte de la CNIL a prononcé, à l’encontre de la société ALLOCAB, une sanction d’un montant de 15 000 euros et a décidé de rendre publique sa décision afin de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés et, en particulier, à l’importance de répondre aux demandes de la présidente de la CNIL.

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL
Notez cet article

Laisser un commentaire

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
  • Huawei Connect 2017

    Huawei Connect 2017 Démonstration de force d’un géant encore méconnu ! Huawei Connect 2017, Shanghai.…

  • EDITO N°18

    La stratégie de l’extincteur Les feuilletons dramatiques de ces derniers mois ont été notamment les…

Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Quatre conseils avisés pour un été en toute sécurité

    Christophe Auberger, directeur technique France, Fortinet, propose quatre bonnes pratiques de cybersécurité à adopter pour…

    > En savoir plus...
Etudes/Enquêtes
  • Intelligence artificielle : 77 % des organisations ont un projet pour 2018

    A l'occasion de Microsoft experiences' 17, à Paris, une étude IDC menée pour Microsoft auprès…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

Qualiac_HauteCouture_160x600
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Adopter un Plan de Continuité d’Activité (PCA)

    > Voir le livre
Qualiac_HauteCouture_160x600