Voilà une publicité dont Ricard se serait bien passé mais la sanction est cependant bien légère. La CNIL vient en effet de sanctionner le distributeur de produits alcoolisés pour un programme de fidélité présenté sur son site web. Les données personnelles des membres de ce programme n'étaient en effet pas protégées. L'autorité administrative indépendante, constatant l'absence de préjudice réel et la correction du problème, n'a cependant pas sanctionné très durement l'entreprise puisqu'elle lui a juste infligé un avertissement public par une décision du 21 avril 2016 publiée le 24 mai.
Concrètement, les données personnelles (noms, prénoms, dates de naissance, moyens de paiements, achats opérés, adresses électroniques, téléphones...) étaient stockées dans un répertoire du site web qui n'était ni bloqué en accès (par un .htaccess par exemple) ni crypté. La seule précaution prise était une demande de désindexation du répertoire dans les moteurs de recherche via une instruction dans le robot.txt. Donc, une simple lecture durobot.txt, par nature en clair, permettait de savoir où chercher des informations intéressantes...
Incompétence du prestataire, indifférence du responsable de traitement
Après un premier contrôle opéré le 8 juillet 2015, la CNIL prévient Ricard du problème. La société déclare avoir effectué le nécessaire en le commandant à son prestataire, information confirmée par un courrier du 23 juillet. Or, le 27 novembre 2015, un nouveau contrôle aboutit au constat que, certes, l'affichage du contenu du répertoire indiqué dans lerobot.txt n'est plus possible mais l'accès en lecture aux URL directes des fichiers l'est toujours ! Un nouveau procès-verbal d'infraction lui est donc adressé le 4 décembre 2015, notification à l'origine de la procédure dont nous parlons ici. Le site web a finalement été refondu pour être à l'état de l'art en matière de sécurité.
Cette affaire est l'occasion de plusieurs rappels intéressants. Tout d'abord, pour la CNIL, le seul et unique responsable est et demeure l'entreprise qui ordonne la création et maîtrise le traitement de données. Cette entreprise ne peut en aucun cas se défausser sur un prestataire. C'est au commanditaire de bien vérifier la mise en place des mesures obligatoires. Mais, et c'est induit, le commanditaire, responsable du traitement, doit effectivement commander et vérifier la mise en place des telles mesures.
Une mise en cause du prestataire délicate
La délibération de la CNIL ne mentionne pas le sous-traitant en cause. Une porte-parole de la CNIL précise : « pour l'instant, le seul responsable pour nous est Ricard en tant que responsable du traitement même si, avec le nouveau Règlement Européen, la place du prestataire va évoluer. » Le groupe Pernod-Ricard, sollicité par la rédaction, n'a pas encore officialisé une réaction ni précisé quel était le prestataire en cause.
Cela dit, dans l'absolu, le prestataire pourrait être poursuivi civilement par Ricard. Le producteur de pastis pourrait lui demander une indemnisation pour le préjudice subi de son fait, notamment le préjudice d'image.
Mais encore faudrait-il que la faute puisse être caractérisée et prouvée. En effet, les attentes en matière de sécurité doivent être spécifiées contractuellement pour qu'un manquement soit caractérisé. Et les instructions du commanditaire, Ricard en l'occurrence, ne doivent pas être contraires directement ou indirectement aux bonnes pratiques. En général, ce genre d'affaires se règle discrètement dans les bureaux des entreprises concernées et il est peu probable que le résultat de ces palabres ne soit un jour connu.
Commentaire