Protection des données : la mansuétude de la CNIL n’est plus de mise !
16 novembre 2017.
Ces derniers mois, la CNIL a accentué ses opérations de contrôle et la mise en place de sanctions.
La CNIL a notamment effectué un contrôle au sein des locaux d’ALLOCAB suite à une plainte d’un client concernant la conservation de ses coordonnées bancaires.
Plusieurs manquements à la loi Informatique et Libertés ont ainsi été constatés et la Présidente de la CNIL a mis en demeure ALLOCAB de s’y conformer et notamment de :
– définir une durée de conservation des données ;
– ne pas conserver les données relatives aux cryptogrammes de cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ;
– procéder à la purge des données des clients ayant demandé la suppression de leurs comptes ;
– prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des personnes concernées, notamment sur les procédures relatives à la création, à la récupération et au stockage des mots de passe.
Lors d’un second contrôle sur place, la CNIL a constaté que les mesures annoncées par ALLOCAB n’avaient pas été mises en œuvre :
– des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information ;
– la sécurité des données n’était pas suffisamment assurée.
Nonobstant les dysfonctionnements techniques avancés par ALLOCAB pour justifier le fait que certains manquements aient perdurés, la formation restreinte de la CNIL sanctionné ALLOCAB d’une amende de 15.000 euros dans une décision rendue publique[1].
Si cette sanction peut sembler modique, il faut garder à l’esprit que le nouveau Règlement européen qui sera applicable à compter du 25 mai 2018 prévoit un relèvement sensible des capacités de sanctions de la CNIL : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total !
Pour rappel la conformité à la loi informatique et libertés impose notamment :
– de respecter les droits des personnes concernées en accédant à leur demande d’exercice;
– une obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ;
– une obligation d’assurer la sécurité et la confidentialité des données è dans ce cadre il convient notamment d’adopter des mesures garantissant la robustesse des mots de passe.
èEn cas de doute dans la mise en place d’un traitement, il ne faut plus hésiter à faire valider votre politique de protection de données par un conseil juridique rompu à ces questions.
[1]Délibération de la formation restreinte n° SAN 2017-002 du 13 avril 2017 prononçant une sanction pécuniaire à l’encontre de la société ALLOCAB