Dépêches

j

Vie des affaires

Loi "informatique et liberté"

Mots de passe et cryptogrammes : la CNIL sanctionne les négligences des entreprises

Premier contrôle de la CNIL

À la suite d’une plainte adressée à la CNIL par un client d'une société de transport de particuliers, un contrôle a été effectué au sein de ses locaux. À cette occasion, plusieurs manquements à la loi « Informatique et Libertés » ont été constatés. La Présidente de la CNIL a alors adressé une mise en demeure à la société, l'enjoignant de :

• définir une durée de conservation des données ;

• ne pas conserver les données relatives aux cryptogrammes des cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ;

• procéder à la purge des données des clients ayant demandé la suppression de leurs comptes ;

• prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des utilisateurs du site.

La société a tardé à répondre et, après plusieurs échanges de courriers, a indiqué avoir entrepris diverses actions afin de se conformer à la mise en demeure.

Second contrôle de la CNIL

Un second contrôle sur place par la CNIL. Il s’est avéré que plusieurs des mesures annoncées par la société n’étaient pas mises en œuvre. Ainsi, des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information. De plus, la sécurité des données n’était pas suffisamment assurée (acceptation de mots de passe d’un seul caractère, transmission en clair des identifiants et mots de passe, etc.).

La Présidente de la CNIL a donc désigné un rapporteur afin que soit engagée une procédure de sanction.

Sanction fixée par la CNIL

Pour éviter une sanction, la société a fait valoir plusieurs dysfonctionnements techniques ayant conduit au maintien des manquements malgré ses engagements.

Cependant, la CNIL a considéré, en l’absence d’éléments permettant effectivement d’attester de ces dysfonctionnements et compte tenu de la persistance de manquements à la loi « Informatique et Libertés », qu’une sanction apparaissait justifiée.

Tenant compte de la cessation des manquements au jour où la CNIL s'est réunit, établie par constat d’huissier, la sanction a été fixée à 15.000 €.

La CNIL a décidé de rendre publique sa décision afin de sensibiliser les responsables de traitement quant à leurs obligations « Informatique et Libertés », en particulier la nécessité d’adopter des mesures effectives en cas de mise en demeure.

CNIL, délibération 2017-002 du 13 avril 2017

Retourner à la liste des dépêches Imprimer