Avertissement public de la CNIL à l’encontre d’un opérateur de télécommunications

Par une délibération du 1er mars 2016, la CNIL a prononcé un avertissement public à l’encontre d’un opérateur de télécommunications pour manquement à “son obligation de veiller à l’exactitude des données à caractère personnel de ses abonnés” imposée par l’article 6-4° de la Loi Informatique et Libertés. En l’espèce, en raison d’un dysfonctionnement de l’application informatique développée par la société lui permettant de traiter de manière automatisée les demandes d’identification provenant de la Hadopi et des services de gendarmerie ou de police, un seul abonné avait été automatiquement identifié par défaut lorsque l’application ne parvenait pas à associer une adresse IP à une personne. Après avoir effectué un contrôle auprès de l’opérateur, la CNIL a constaté que la société n’avait pas respecté son obligation légale de transmettre des données exactes, notamment aux autorités de poursuite.

Pour lire la délibération de la CNIL

Sécurité et confidentialité des données : avertissement public de la CNIL à une société de livraison

Par délibération du 12 juin 2014, la CNIL a prononcé un avertissement public à l’encontre d’une société dont un contrôle avait permis de révéler que des fiches clients contenant "des données relatives à l’identité, à l’adresse des personnes, à leurs numéros de téléphone et adresses téléphoniques ainsi que parfois des instructions détaillées de livraison" étaient en accès libre sur un moteur de recherche. Pour expliquer l’origine de cette faille de sécurité, la société indique qu’il s’agissait d’un défaut de conception de l’application par un sous-traitant. Cependant, la CNIL rappelle que "la responsabilité [d’un défaut dans la conception de l’application] incombe nécessairement à la société en tant que responsable de traitement et ceci qu’elle qu’en soit l’origine réelle". La CNIL relève que malgré les dispositions prises par la société suite au contrôle pour limiter l’effet du défaut de sécurisation de l’application, "la société n’a entrepris aucune démarche pour vérifier la sécurité de l’ensemble de l’application" et qu’"elle est ainsi restée dans l’ignorance de la seconde faille de sécurité, révélée lors du contrôle".

Pour lire la délibération de la CNIL

Rejet d’une requête contre un avertissement public de la CNIL

Dans un arrêt du 27 juillet 2012, le Conseil d’Etat a rejeté la requête d’une société de cours à domicile visant à annuler une délibération du 22 avril 2010 par laquelle la CNIL avait rendu un avertissement à son encontre public pour méconnaissance des dispositions de la Loi Informatique et Libertés. Par une autre délibération du même jour, la CNIL avait  par ailleurs mis en demeure cette société de cesser ces agissements. Selon la requérante, un avertissement ne pouvait être infligé en même temps qu’une mise en demeure était adoptée. Le Conseil d’Etat rejette la requête en considérant que « la mise en demeure n’est pas une sanction », qu’ « un avertissement pouvait être infligé en même temps qu’une mise en demeure » et que le dommage significatif causé par le caractère public de l’avertissement était en l’espèce proportionné par l’ampleur des manquements relevés.

Pour lire l’arrêt sur Légifrance