Le 21 avril 2016 : Avertissement public de la CNIL pour manquement à l’obligation de sécurité et de confidentialité des données nominatives

La Commission Nationale de l’Informatique et des Libertés (« CNIL ») a prononcé un avertissement public à l’encontre de la société Ricard car des données de ses clients étaient librement accessibles sur Internet.

En 2015, la CNIL a réalisé un contrôle en ligne du site internet de la société Ricard, ayant pour objet de proposer aux clients de la société d’adhérer à un programme de fidélité et de commander des objets promotionnels de la marque.
Elle a alors relevé que les mesures garantissant la confidentialité des données des clients de la société Ricard étaient insuffisantes, car elle pouvait librement accéder à plusieurs milliers de données contenues dans les répertoires du site web, parmi lesquels les : nom, prénom, date de naissance, adresses postale et électronique, numéros de téléphone et des informations relatives aux cartes bancaires des clients. Certains de ces répertoires, bien qu’exclus d’une indexation sur internet, ne faisaient pas l’objet de mesure de sécurité particulière permettant d’en restreindre l’accès, alors qu’ils contenaient de nombreuses données personnelles.
Immédiatement informée de cette faille de sécurité, la société a indiqué avoir bloqué l’accès aux données, par l’intermédiaire de son hébergeur.

Or, dans un second contrôle quelques mois plus tard, les données étaient toujours accessibles, en interrogeant les URL d’accès direct aux fichiers litigieux.

Le 21 avril 2016, la CNIL a donc prononcé un avertissement public à l’encontre de la société Ricard, afin, notamment, de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées, y compris lorsqu’ils font appel à un sous-traitant.
Elle a estimé que la société avait manqué à son obligation de veiller à la sécurité et confidentialité des données nominatives, en méconnaissance de l’article 34 de la loi Informatique et libertés. Elle a, par ailleurs, précisé que l’existence d’une relation de sous-traitance, aux termes de laquelle la société avait délégué l’hébergement de son site web et la gestion de son contenu à des prestataires, ne l’exonérait pas de ses obligations légales.

Enfin, elle a conclut que l’absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement.
La société a finalement corrigé cette faille de sécurité :  les données ne sont plus accessibles sur Internet.