SOUS-TRAITANTS : PREMIÈRE SANCTION DE LA CNIL POUR DÉFAUT DE SÉCURITÉ

Publié le 12/05/2021 Vu 756 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Le 27 janvier 2021, la CNIL a, pour la première fois, sanctionné un sous-traitant en raison de l’insuffisance des mesures de sécurité mises en place pour l’encadrement de traitements de données à caractère personnel.

Le 27 janvier 2021, la CNIL a, pour la première fois, sanctionné un sous-traitant en raison de l’insuffisa

SOUS-TRAITANTS : PREMIÈRE SANCTION DE LA CNIL POUR DÉFAUT DE SÉCURITÉ

Cette décision opère un revirement important.

Ce revirement doit en effet être pris en compte dans la gestion juridique des responsabilités à opérer au sein des contrats liant les responsables de traitement à leurs différents sous-traitants.

De manière incidente mais tout aussi nécessaire cette décision du 27 janvier, vient confirmer l’intervention prochaine de vague d’audits et de contrôle opérés directement par les Responsables e traitement auprès de leurs fournisseurs afin de s’assurer que ces derniers respectent leurs engagements de sécurité.

Le contexte n’est pas neutre et impose la plus grande vigilance.

Que ce soit par des clauses de limitation ou d’exclusion, les sous-traitants qui se trouvent en position de force dans les négociations contractuelles avec leurs clients ont en effet tendance à minimiser leur responsabilité au regard de la protection des données à caractère personnel.

Leur statut les y invite : ils traitent ces données pour le compte et selon les instructions du responsable de traitement.

La décision de la CNIL fait suite à des notifications de violations de données liées à des attaques par bourrages d’identifiants (credential stuffing) sur le site Internet d’un responsable de traitement.

Ces attaques avaient ainsi permis à des personnes malveillantes d’obtenir de nombreuses données concernant les clients d’un site de commerce en ligne.

En premier lieu, la CNIL estime qu’il incombait au responsable de traitement de décider des mesures de sécurité à mettre en place pour lutter contre ces attaques et de donner des instructions à cette fin à son sous-traitant.

Cependant, et pour la première fois, la CNIL considère qu’il appartenait aussi au sous-traitant de rechercher les solutions techniques et organisationnelles « les plus appropriées » pour assurer la sécurité des données et de les proposer au responsable de traitement.

En conséquence, la CNIL a prononcé deux amendes administratives distinctes à l’encontre non seulement du responsable de traitement mais aussi de son sous-traitant et dont le montant respectif s’élève à 150 000 euros et 75 000 euros.

La CNIL précise que le montant de ces amendes a été calculé en tenant compte notamment de la responsabilité respective de chacun de ces acteurs au regard du traitement.

 

Source : https://info.haas-avocats.com/

Pour plus d'infos : Comment appliquer le RGPD dans une entreprise ?

Voir aussi notre guide : Créer et gérer un site de e-commerce 2021-2022

 

Articles sur le même sujet :

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.