Mesures de sécurité insuffisantes d’un site : La CNIL polonaise inflige une amende équivalente à près de 650 000 euros
10 octobre 2019.
C’est au tour de l’autorité de protection des données polonaise (l’UODO) de sanctionner pour manquement à la sécurité des données un site de vente en ligne, en l’espèce de matériel informatique.
Alors que l’acte d’achat impliquait la collecte des noms, prénoms, numéros de téléphone, courriels et adresses de ses clients, la gestion du dossier de prêt qui l’accompagnait parfois rendait nécessaire la collecte du numéro de la pièce d’identité, des revenus, ou encore de la situation matrimoniale.
L’UODO a considéré que le site n’assurait pas une protection suffisante de ces données et a relevé l’absence de «procédures appropriées ».Pour autant, le montant de la sanction est relativement faible à raison de la réactivité et de la bonne coopération du responsable de traitement.
Le Règlement général sur la protection des données – ci-après le « RGPD » pose, en effet, de strictes exigences pour assurer la sécurité des traitements des données personnelles : ainsi, l’article 32 du texte impose au responsable de traitement et au sous-traitant de mettre « en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque». Cela se traduit notamment par de la pseudonymisation, du chiffrement des données, des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.
Pour apprécier le niveau de sécurité que les entreprises doivent mettre en place, l’article 32-2 du RGPD précise que « lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite ».
Les entreprises traitant des données personnelles, en tant que responsable de traitement ou sous-traitant, se doivent donc être particulièrement attentives au niveau de sécurité qu’elles mettent en place. Afin d’éviter tout risque de manquement à cette obligation, il convient qu’elles procèdent à l’évaluation du risque au cas par cas et s’assurent ainsi du niveau de sécurité adapté.
La CNIL, dans son guide dédié à la gestion des risques, conseille, pour ce faire, de procéder en plusieurs étapes : recenser les traitements des données à caractère personnel (matériels, logiciels, canaux de communication, support papier), apprécier les risques engendrés par chaque traitement en identifiant les impacts potentiels, sources des risques et des menaces, déterminer les mesures existantes ou prévues permettant de traiter de chaque risque (contrôle d’accès, traçabilité sécurité des locaux) et enfin, estimer la gravité et la vraisemblance des risques.
Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance
Nous contacter