En raison d’un défaut de sécurité affectant la sécurité de centaines de milliers de données clients, la CNIL est venue sanctionner la société de transport DHL d’un avertissement public.

07451039-photo-dhl-logo
Alertée d’une potentielle faille affectant la sécurité  des données clients de DHL, la CNIL a effectué un contrôle sur place. A la suite de ce contrôle et consécutif à  l’existence d’une faille dans une application conçue par un sous-traitant concernant la relivraison des colis de leurs clients, il s’est avéré que plus de 680 000 fichiers clients du transporteur étaient librement accessibles  sur Internet. La société DHL, alertée par la Commission Nationale Informatique et Libertés sur l’existence d’une telle faille, a rapidement pris des mesures correctrices. Ces mesures n’ont néanmoins pas empêché la société DHL d’être sanctionnée publiquement au vue de la gravité des faits qui lui étaient reprochés.
Ainsi référencés dans le moteur de recherche Google, les fiches clients du transporteur contenaient un certain nombre de données à caractère personnel telles que le prénom, le nom, les adresses e-mail, les numéros de téléphone, les coordonnées postales des clients de la société ainsi que des informations relatives à la sécurisation des accès aux logements ou à la santé des personnes. Malgré la régularisation opérée par DHL, la CNIL a estimé que le transporteur, déjà averti en 2013 d’une faille affectant les accès internes à l’application de relivraison, aurait dû mener une « démarche de vérification de la sécurité de l’ensemble de l’application qui lui aurait permis d’isoler la fuite de données ».
La CNIL vient donc en premier lieu sanctionner la société DHL pour défaut de sécurité de l’application par laquelle il était possible d’accéder aux données personnelles des clients. En ce sens, la Loi Informatique et Libertés dispose à son article 34 que tout responsable de traitement doit identifier les précautions utiles à prendre «au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès». Chaque responsable de traitement doit donc prendre l’ensemble des «mesures techniques et d’organisation appropriées» afin de veiller notamment à sécuriser l’accès aux données personnelles collectées.
En second lieu, la société DHL s’est également vu reprocher le fait de ne pas avoir défini une durée de conservation  des données proportionnelle et adaptée aux finalités de son traitement, certaines fiches clients datant de 2007.
Enfin, il est important de souligner qu’il ressort de la décision de la CNIL que l’absence de sécurisation  d’une application  conçue par un sous-traitant ne permet pas d’écarter la responsabilité de la société  qui demeure « responsable de traitement quand bien même l’origine de la faille serait due à un défaut dans la conception de l’application ».
Au vue de la qualification de responsable de traitement et de la portée d’un avertissement public en terme de réputation, nul doute que la prise de mesures techniques de sécurité doit être un prérequis nécessaire et une condition sine qua non avant tout lancement par une entreprise d’une application.
 
Source – Délibération de la formation restreinte  de la CNIL du 12  juin 2014 – CNIL
 
11Ludovic POIDEVIN
Étudiant en Droit de l’économie numérique passionné par le Droit de la propriété intellectuelle, la protection des données personnelles et les nouvelles technologies.
LinkedIn couleur logo Twitter couleur Logo mail couleur

A propos de Ludovic Poidevin

Étiquettes : , , , , ,