Darty sanctionnée par la CNIL en matière de protection des données
Darty avait chargé un
prestataire externe de développer un formulaire de demande en ligne en matière
de services après-vente. Un contrôle de la CNIL a révélé qu’un défaut dans le
système de sécurité permettait d’accéder librement à des milliers de données
personnelles des clients de l’enseigne. Même si elle n’utilisait pas in fine ce formulaire, l’entreprise
n’avait pas désactivé les fonctionnalités défaillantes du logiciel.
La CNIL lui a donc infligé
une amende de 100 000 euros pour manquement à son obligation de sécurité
des données personnelles et a précisé que faire appel à un sous-traitant ne la
déchargeait pas de cette obligation car les données avaient été traitées pour
son compte.
L’autorité condamne ainsi
le responsable de traitement pour les erreurs de son sous-traitant bien que la
fonctionnalité défectueuse ait été mise en œuvre à l’insu du responsable et
corrigée ensuite par le prestataire.
L’issue de cette décision
aurait pu être différente si elle avait été rendue quelques mois plus tard. En
effet, avec l’entrée en vigueur du RGPD, un sous-traitant pourra voir sa
responsabilité engagée au même titre que le responsable de traitement, ce qui
n’est pas le cas aujourd’hui. Cela sera notamment possible si le sous-traitant s’écarte
des directives du responsable de traitement comme il semble que ça ait été
le cas ici.
