Vie des affaires

Site Internet

Assurer la confidentialité des données des clients

La Commission nationale Informatique et libertés (CNIL) a réalisé un contrôle en ligne du site d'une entreprise commerciale, site qui a pour objet de proposer aux clients d’adhérer à un programme de fidélité et de commander des objets promotionnels.

Elle a relevé que les mesures garantissant la confidentialité des données des clients de l'entreprise étaient insuffisantes. Les contrôleurs de la CNIL avaient en effet pu accéder à plusieurs milliers de données contenues dans les répertoires du site : nom, prénom, date de naissance, adresses postale et électronique, numéro de téléphone et de carte bancaire des clients. Informée par la CNIL de cette faille de sécurité, l'entreprise lui a indiqué avoir bloqué l’accès aux données, par l’intermédiaire de son hébergeur.

Cependant, un second contrôle a révélé que les données étaient toujours accessibles. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’issue de laquelle un avertissement public a été prononcé à l’encontre de l'entreprise.

Dans sa décision, la CNIL a préciséque :

- l’existence d’une relation de sous-traitance, aux termes de laquelle la société avait délégué l’hébergement de son site web et la gestion de son contenu à des prestataires, ne l’exonérait pas de ses obligations légales ;

- l’absence de préjudice avéré pour les personnes concernées ne suffisait pas à faire disparaître le manquement. Enfin, la formation restreinte a décidé de rendre sa sanction publique afin, notamment, de sensibiliser les responsables de traitement à leurs obligations en matière de confidentialité des données personnelles collectées, y compris lorsqu’ils font appel à un sous-traitant.

L'entreprise a, depuis, corrigé cette faille de sécurité. Les données ne sont plus accessibles sur Internet.

CNIL délibération 2016-108 du 21 avril 2016