En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 20/03/2018
    Mobility Meetings, toutes les solutions mobiles

    Lancement d’un nouveau salon Mobility Meetings, qui aura lieu à Cannes les 20, 21 et…

    en détail En détail...
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site E-commerce dans la vente de café
    2000 €
    > En savoir plus
  • Câblage de réseau informatique pour un menuisier agenceur
    A déterminer €
    > En savoir plus
  • Création de site Internet vitrine pour une société de conseil en affaires
    A déterminer €
    > En savoir plus
GlobalK_GDPR _leaderboard

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL

Primobox_Demat RH_pave 2

Par une décision du 13 avril 2017, la formation restreinte de la CNIL a prononcé une sanction pécuniaire à l’encontre de la société ALLOCAB en raison de la persistance du manquement à plusieurs de ses obligations imposées par la loi Informatique et Libertés. Amira Bounedjoum, avocat département IP/IT du cabinet SIMON ASSOCIES, décrypte la décision.

LES FAITS

La société ALLOCAB, société spécialisée dans le transport de particuliers, a fait l’objet d’une plainte adressée à la CNIL, le 16 janvier 2015, par un client de la société. Ce dernier s’est notamment plaint de la conservation de ses coordonnées bancaires lors du paiement de ses réservations en ligne. Suite à cette plainte, une mission de contrôle sur place a été diligentée au sein des locaux de la société ALLOCAB. A cette occasion, de nombreux manquements à la loi Informatique et Libertés ont été constatés.

LES MANQUEMENTS CONSTATÉS

Manquement à l’obligation de déterminer une durée de conservation adéquate

L’article 6-5° de la loi Informatique et Libertés dispose que les données sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Au cas particulier, la CNIL a constaté, lors du contrôle sur place, qu’ALLOCAB conservait l’ensemble des données pendant une période excessivement longue. Elle conservait par exemple l’ensemble des données de comptes inactifs depuis quinze mois ou plus.

La société conservait, en outre, les données relatives au cryptogramme des cartes bancaires des utilisateurs après la transaction.

Elle a ainsi été mise en demeure de définir une durée de conservation des données présentes en base, en fonction des finalités pour lesquelles elles sont collectées et, en particulier, veiller à ce que les données relatives au cryptogramme ne soient pas conservées au-delà du temps nécessaire à la réalisation de la transaction ainsi que procéder à la purge des données des clients ayant demandé la suppression de leurs comptes.

En défense, la société a soulevé le fait que la conservation de ces données était notamment dû à une contrainte technique imposée par son prestataire de paiement.

Restée un temps inactive et n’ayant donné suite à un courrier complémentaire de la présidente de la CNIL, la société a finalement produit un constat d’huissier – postérieur à l’échéance du délai imparti par la mise en demeure – démontrant qu’elle s’était conformée aux demandes de la CNIL.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de conserver les données pendant une durée proportionnelle à la finalité poursuivie était caractérisé.

Manquement à l’obligation d’assurer la sécurité des données

L’article 34 de la loi du 6 janvier 1978 modifiée dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Lors du contrôle de la CNIL, la Commission a constaté que les mots de passe des utilisateurs étaient communiqués en clair lors de la procédure de confirmation.

Une telle communication du mot de passe constitue une atteinte à la confidentialité de celui-ci.

En outre, il a été constaté que le système d’information d’ALLOCAB acceptait des mots de passe composés d’un seul caractère.

Dès lors, la CNIL a mis en demeure ALLOCAB de mettre en place les mesures suivantes afin de remédier à ce manquement :

  • modifier la procédure de confirmation du mot de passe des utilisateurs pour qu’il ne soit plus communiqué en clair. La CNIL a proposé d’envoyer par courrier électronique soit un mot de passe aléatoire qui ne serait utilisable qu’une seule fois, soit un lien vers une page permettant de définir un nouveau mot de passe ;
  • mettre en place un mécanisme de hachage des mots de passe stockés en base de données couplé à l’utilisation d’un sel qui devra faire l’objet d’un stockage sur un espace distinct de celui dans lequel sont stockés les mots de passe ;
  • imposer, pour chaque mot de passe, une robustesse suffisante.

Le constat d’huissier produit par ALLOCAB attestait du fait qu’elle s’était également conformée aux demandes de la CNIL sur ce point.

Toutefois, et dans la mesure où ce manquement a subsisté au terme du délai de mise en demeure, la formation restreinte de la CNIL en a conclu que le manquement à l’obligation de sécurité était caractérisé.

LA DECISION DE LA CNIL

A l’issue de son instruction, le rapporteur a fait part de ses observations le 13 janvier 2017. Son rapport détaillait les manquements à la loi Informatique et Libertés qu’il estimait constitués en l’espèce et proposait à la CNIL de prononcer une sanction pécuniaire de 50 000 euros, rendue publique.

Considérant que les manquements aux articles 6-5° et 34 de la loi Informatique et Libertés ont persisté au-delà de l’échéance du délai imparti par la mise en demeure, et tenant compte du fait que la société s’était depuis mise en conformité, la formation restreinte de la CNIL a prononcé, à l’encontre de la société ALLOCAB, une sanction d’un montant de 15 000 euros et a décidé de rendre publique sa décision afin de sensibiliser les personnes et les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés et, en particulier, à l’importance de répondre aux demandes de la présidente de la CNIL.

Juridique – Sécurité des données : condamnation de la société ALLOCAB par la CNIL
Notez cet article

Laisser un commentaire

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 24 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • L’espace de travail numérique : pivot de la transformation des entreprises

    Pour absorber la vague de natifs du numérique et répondre à leurs besoins en matière…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_GDPR _skycraper
Agenda
livres blancs
Les Livres
Blancs
GlobalK_GDPR _skycraper