RGPD : publication par la CNIL d’un guide relatif à la sous-traitance

Le 29 septembre 2017, la CNIL a publié “un guide pour sensibiliser [les sous-traitants] et les accompagner dans la mise en œuvre concrète de leurs obligations”, notamment leur obligation de conseil auprès des clients pour le compte desquels ils traitent des données. À ce titre, la CNIL a rappelé que les sous-traitants devraient aider leurs clients “dans la mise en œuvre de certaines obligations du règlement (étude d’impact sur la vie privée, notification de violation de données, sécurité, contribution aux audits). Ils devront également “tenir un registre des activités de traitement effectuées pour le compte de leurs clients [et dans] certains cas (…) désigner un délégué à la protection des données (DPD) dans les mêmes conditions qu’un responsable de traitement”.

Pour lire le guide et le communiqué de la CNIL

Sanction pécuniaire pour négligence dans la surveillance des actions d’un sous-traitant

Dans une délibération du 18 juillet 2017, la CNIL a prononcé une sanction publique de 40 000 euros à l’encontre d’une société de location de véhicules pour violation de données personnelles due à une erreur commise par son sous-traitant. En octobre 2016, la CNIL avait constaté lors d’un contrôle en ligne qu’en ajoutant une chaîne de caractères et un identifiant à l’URL du site conçu par la société pour les besoins d’un programme de réductions, “les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré au[dit] programme”. À l’issue de contrôles réalisés au sein des locaux de la société, la CNIL a relevé que la violation “avait pour origine la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs [par le sous-traitant qui avait développé le site], causant le réaffichage du formulaire contenant l’ensemble des données (…) renseignées par les personnes s’inscrivant au programme de réduction”. La formation restreinte a donc considéré que “la violation de données résult[ait] d’une négligence de la société dans la surveillance des actions de son sous-traitant”.

Pour lire la délibération de la CNIL

Sanction d’un FAI pour méconnaissance de ses obligations de sécurité

Dans un arrêt du 30 décembre 2015, le Conseil d’Etat a rejeté la requête introduite par un FAI contre un avertissement prononcé par la CNIL à son encontre à la suite d’une intrusion illicite sur le serveur du sous-traitant d’un de ses prestataires qui a permis d’accéder aux données personnelles de ses clients et prospects. Il a affirmé que la seule mention d’une obligation de sécurité à la charge du prestataire dans le contrat le liant au FAI ne dispensait pas ce dernier de prendre des mesures destinées à s’assurer lui-même que la sécurité des données était préservée. Le Conseil d’Etat a confirmé la sanction de la CNIL et a retenu que le FAI n’avait pas « fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie [par le sous-traitant] pour la prospection commerciale de ses clients » et « avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel ».

Pour lire l’arrêt du Conseil d’Etat sur Légifrance