Sanction pécuniaire pour négligence dans la surveillance des actions d’un sous-traitant

Dans une délibération du 18 juillet 2017, la CNIL a prononcé une sanction publique de 40 000 euros à l’encontre d’une société de location de véhicules pour violation de données personnelles due à une erreur commise par son sous-traitant. En octobre 2016, la CNIL avait constaté lors d’un contrôle en ligne qu’en ajoutant une chaîne de caractères et un identifiant à l’URL du site conçu par la société pour les besoins d’un programme de réductions, “les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au[dit] programme”. À l’issue de contrôles réalisés au sein des locaux de la société, la CNIL a relevé que la violation “avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs [par le sous-traitant qui avait développé le site], causant le réaffichage du formulaire contenant l’ensemble des données (…) renseignées par les personnes s’inscrivant au programme de réduction”. La formation restreinte a donc considéré que “la violation de données résult[ait] d’une négligence de la société dans la surveillance des actions de son sous-traitant”.

Pour lire la délibération de la CNIL