Par une délibération en date du 18 Juillet 2017, la CNIL a prononcé une sanction pécuniaire d’un montant de 40 000 € à l’encontre de la société HERTZ FRANCE suite à une violation des données de ses clients due à une négligence de son prestataire.

Informée le 15 octobre 2016 par l’éditeur du site internet ZATAZ, spécialisé dans la sécurité informatique et après vérification en ligne, la CNIL a prévenu la société HERTZ de l’existence de ladite violation. Aussitôt alertée, cette dernière en a informé son prestataire en charge du développement du site internet qui a procédé dans les 4 heures aux modifications nécessaires pour faire cesser cette faille de sécurité.

Les contrôles opérés par la CNIL ont révélé que :

–    les données de plus de 35 000 personnes avaient été affectées ;

–    la faille était due à « la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs » ;

–    aucun cahier des charges n’avait été imposé par la société HERTZ à son sous-traitant lors de la réalisation du site ;

–    le niveau global de sécurité constaté chez le sous-traitant était insuffisant.

Si la CNIL a tenu compte de la réactivité dont a fait preuve la société HERTZ et son prestataire dans le traitement de l’incident, ainsi que des audits spontanés ultérieurement effectués chez le prestataire, elle a néanmoins considéré que la société HERTZ avait manqué à son obligation de sécurisation des données en faisant preuve de négligence dans le suivi des actions de son sous-traitant.

En conséquence, et au regard du nombre important de personnes concernées par cette violation, la Commission a prononcé une amende de 40 000 € et rendu publique sa décision de sanction.

Cette affaire a été l’occasion pour la CNIL de faire usage pour la première fois de ses pouvoirs de sanction renforcés par la loi pour une République numérique, l’autorisant notamment désormais à prononcer des sanctions pécuniaires sans mise en demeure préalable. Avant cette loi, seul un avertissement aurait pu être prononcé dans un tel cas.

En conclusion, nous recommandons :

  • aux responsables du traitement de veiller à bien contractualiser leurs relations avec leurs sous-traitants en vue notamment de soumettre ces derniers à des standards spécifiques en matière de sécurisation des données et de notification des incidents. 
  • aux sous-traitants, et notamment prestataires informatiques, de bien prendre en compte la protection des données dès la conception de leurs services ou produits et par défaut et de mettre en place des mesures permettant de garantir une protection optimale des données, conformément à leurs nouvelles obligations issues du Règlement européen de protection des données (RGPD).

A noter qu’à compter de l’entrée en application du RGPD le 25 Mai 2018, le sous-traitant pourra également voir sa propre responsabilité directement engagée et faire l’objet de sanctions administratives de la CNIL.

Nous contacter