Actualités


Archives

Données personnelles – Confirmation de l’avertissement public adressé par la CNIL à un opérateur téléphonique pour ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées.

Données personnelles – Confirmation de l’avertissement public adressé par la CNIL à un opérateur téléphonique pour ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées.

A la suite d’une intrusion illicite sur le serveur d’une société sous-traitante de la société G., prestataire de services d’un opérateur téléphonique, ayant permis d’accéder aux données à caractère personnel de 1,3 million de clients et prospects de ce dernier, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a prononcé contre l’opérateur téléphonique un avertissement pour ne pas s’être assuré des mesures de sécurité prises par ses sous-traitants pour protéger les données personnelles confiées, en violation des obligations prévues par l’article 34 de la loi du 6 janvier 1978. Cet avertissement a été rendu public par la CNIL.

L’opérateur téléphonique a saisi le Conseil d’Etat d’une demande d’annulation de la délibération de la CNIL par laquelle cette dernière a prononcé ledit avertissement.

Rappelons que l’article 34 de la loi du 6 janvier 1978 prévoit que la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge pas le responsable du traitement de la responsabilité qui lui incombe de préserver la sécurité des données.

Le Conseil d’Etat considère en l’espèce que la seule mention, dans le contrat liant l’opérateur téléphonique à son prestataire, d’une obligation de sécurité mise à la charge de ce dernier, ne dispensait pas l’opérateur de prendre des mesures destinées à s’assurer elle-même que la sécurité de ses données était préservée.

Le Conseil relève qu’il ressort de la délibération attaquée , « non sérieusement » contestée par l’opérateur téléphonique, que ce dernier n’avait pas fait procéder à un audit de sécurité sur l’application qui avait été spécialement définie pour la prospection commerciale de ses clients, avait utilisé des moyens de communication non sécurisés pour transférer à ses prestataires des données à caractère personnel et n’avait pas veillé à ce que les consignes de sécurité prévues contractuellement avec la société G. soient portées à la connaissance du prestataire secondaire.

Compte tenu de ce qui précède, et au regard du nombre très important de personnes concernées, le Conseil d’Etat considère que la CNIL a ainsi pu décider que l’opérateur téléphonique avait méconnu ses obligations et prononcer un avertissement public.

CE 30 décembre 2015 n°385019

pour visualiser la décision cliquez ici

Bénédicte Rochet