En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 17/10/2017
    Mobility for Business

    7ème édition de Mobility for Business, le salon des solutions mobiles "pour une meilleure transformation…

    en détail En détail...
Conscio_Bannière

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL

Jalios_Digital Summit 2017_pave

Par une décision du 13 avril 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société ALLOCAB en raison de la persistance du manquement à plusieurs de ses obligations imposées par la loi Informatique et Libertés. Amira Bounedjoum, avocat département IP/IT du cabinet SIMON ASSOCIES, décrypte la décision.

LES FAITS

La société ALLOCAB, société spécialisée dans le transport de particuliers, a fait l’objet d’une plainte adressée à la CNIL, le 16 janvier 2015, par un client de la société. Ce dernier s’est notamment plaint de la conservation de ses coordonnées bancaires lors du paiement de ses réservations en ligne. Suite à cette plainte, une mission de contrôle sur place a été diligentée au sein des locaux de la société ALLOCAB. A cette occasion, de nombreux manquements à la loi Informatique et Libertés ont été constatés.

LES MANQUEMENTS CONSTATÉS

Manquement à l’obligation de déterminer une durée de conservation adéquate

L’article 6-5° de la loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Au cas particulier, la CNIL a constaté, lors du contrôle sur place, qu’ALLOCAB conservait l’ensemble des données pendant une période excessivement longue. Elle conservait par exemple l’ensemble des données de comptes inactifs depuis quinze mois ou plus.

La société conservait, en outre, les données relatives au cryptogramme des cartes bancaires des utilisateurs après la transaction.

Elle a ainsi été mise en demeure de définir une durée de conservation des données présentes en base, en fonction des finalités pour lesquelles elles sont collectées et, en particulier, veiller à ce que les données relatives au cryptogramme ne soient pas conservées au-delà du temps nécessaire à la réalisation de la transaction ainsi que procéder à la purge des données des clients ayant demandé la suppression de leurs comptes.

En défense, la société a soulevé le fait que la conservation de ces données était notamment dû à une contrainte technique imposée par son prestataire de paiement.

Restée un temps inactive et n’ayant donné suite à un courrier complémentaire de la présidente de la CNIL, la société a finalement produit un constat d’huissier – postérieur à l’échéance du délai imparti par la mise en demeure – démontrant qu’elle s’était conformée aux demandes de la CNIL.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de conserver les données pendant une durée proportionnelle à la finalité poursuivie était caractérisé.

Manquement à l’obligation d’assurer la sécurité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Lors du contrôle de la CNIL, la Commission a constaté que les mots de passe des utilisateurs étaient communiqués en clair lors de la procédure de confirmation.

Une telle communication du mot de passe constitue une atteinte à la confidentialité de celui-ci.

En outre, il a été constaté que le système d’information d’ALLOCAB acceptait des mots de passe composés d’un seul caractère.

Dès lors, la CNIL a mis en demeure ALLOCAB de mettre en place les mesures suivantes afin de remédier à ce manquement :

  • modifier la procédure de confirmation du mot de passe des utilisateurs pour qu’il ne soit plus communiqué en clair. La CNIL a proposé d’envoyer par courrier électronique soit un mot de passe aléatoire qui ne serait utilisable qu’une seule fois, soit un lien vers une page permettant de définir un nouveau mot de passe ;
  • mettre en place un mécanisme de hachage des mots de passe stockés en base de données couplé à l’utilisation d’un sel qui devra faire l’objet d’un stockage sur un espace distinct de celui dans lequel sont stockés les mots de passe ;
  • imposer, pour chaque mot de passe, une robustesse suffisante.

Le constat d’huissier produit par ALLOCAB attestait du fait qu’elle s’était également conformée aux demandes de la CNIL sur ce point.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de sécurité était caractérisé.

LA DECISION DE LA CNIL

A l’issue de son instruction, le rapporteur a fait part de ses observations le 13 janvier 2017. Son rapport détaillait les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce et proposait à la CNIL de prononcer une sanction pécuniaire de 50 000 euros, rendue publique.

Considérant que les manquements aux articles 6-5° et 34 de la loi Informatique et Libertés ont persisté au-delà de l’échéance du délai imparti par la mise en demeure, et tenant compte du fait que la société s’était depuis mise en conformité, la formation restreinte de la CNIL a prononcé, à l’encontre de la société ALLOCAB, une sanction d’un montant de 15 000 euros et a décidé de rendre publique sa décision afin de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés et, en particulier, à l’importance de répondre aux demandes de la présidente de la CNIL.

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Nouvelles règles européennes sur les données non personnelles : un élan majeur pour réaliser le marché unique numérique

    La Commission européenne a proposé mardi 19 septembre de nouvelles règles du jeu pour lever…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Expertise - Automatisation des dépenses : entreprises, libérez vos collaborateurs !

    Karim Jouini, co-fondateur et CEO d' Expensya, start-up fondée en 2015 par à l'origine d'une application intelligente…

    > En savoir plus...
Etudes/Enquêtes
  • Automatiser les processus RH : l'enjeu majeur des PME et ETI

    Quelles stratégies digitales RH chez les PME et ETI, ces organisations à taille humaine qui ne…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
elo_processus pointe_skyscraper