/image%2F0011318%2F20191028%2Fob_12bcde_logo-noir-bleu.png){kind=logo}
Le 27 janvier 2021, la CNIL a, pour la première fois, sanctionné un sous-traitant en raison de l’insuffisance des mesures de sécurité mises en place pour l’encadrement de traitements de données à caractère personnel.
Cette décision opère un revirement important.
Ce revirement doit en effet être pris en compte dans la gestion juridique des responsabilités à opérer au sein des contrats liant les responsables de traitement à leurs différents sous-traitants.
De manière incidente mais tout aussi nécessaire cette décision du 27 janvier, vient confirmer l’intervention prochaine de vague d’audits et de contrôle opérés directement par les Responsables e traitement auprès de leurs fournisseurs afin de s’assurer que ces derniers respectent leurs engagements de sécurité.
Le contexte n’est pas neutre et impose la plus grande vigilance.
Que ce soit par des clauses de limitation ou d’exclusion, les sous-traitants qui se trouvent en position de force dans les négociations contractuelles avec leurs clients ont en effet tendance à minimiser leur responsabilité au regard de la protection des données à caractère personnel.
Leur statut les y invite : ils traitent ces données pour le compte et selon les instructions du responsable de traitement.
La décision de la CNIL fait suite à des notifications de violations de données liées à des attaques par bourrages d’identifiants (credential stuffing) sur le site Internet d’un responsable de traitement.
Ces attaques avaient ainsi permis à des personnes malveillantes d’obtenir de nombreuses données concernant les clients d’un site de commerce en ligne.
En premier lieu, la CNIL estime qu’il incombait au responsable de traitement de décider des mesures de sécurité à mettre en place pour lutter contre ces attaques et de donner des instructions à cette fin à son sous-traitant.
Cependant, et pour la première fois, la CNIL considère qu’il appartenait aussi au sous-traitant de rechercher les solutions techniques et organisationnelles « les plus appropriées » pour assurer la sécurité des données et de les proposer au responsable de traitement.
En conséquence, la CNIL a prononcé deux amendes administratives distinctes à l’encontre non seulement du responsable de traitement mais aussi de son sous-traitant et dont le montant respectif s’élève à 150 000 euros et 75 000 euros.
La CNIL précise que le montant de ces amendes a été calculé en tenant compte notamment de la responsabilité respective de chacun de ces acteurs au regard du traitement.
Source : https://info.haas-avocats.com/
Pour plus d'infos : Comment appliquer le RGPD dans une entreprise ?
Voir aussi notre guide : Créer et gérer un site de e-commerce 2021-2022
Articles sur le même sujet :
- Créer et gérer un site de e-commerce
- Réussir la création de sa SARL
- Récupérer une facture impayée
- Éviter les impayés
- Démission d'un gérant de SARL : mode d'emploi
- Révoquer un gérant de SARL
- Dissoudre une SARL
- Guide pratique de la SARL
- Comment ouvrir un site de ecommerce en 9 étapes ?
- E-commerce : est-on obligé de créer une entreprise ?
- Comment réaliser facilement un business plan en 4 étapes
- Quel est le meilleur statut juridique pour le ecommerce ?
- Qu'est-ce qu'un auto-entrepreneur ?
- Comment créer une SARL en 7 étapes ?
- Créer un site de e-commerce : les déclarations obligatoires
- Quelle est la loi applicable à un site de e-commerce ?
- E-commerce : faut-il encore déclarer son site à la CNIL ?
- La rédaction des conditions générales de vente (CGV)
- Quelles mentions obligatoires pour un site internet (ecommerce) ?
- Comment protéger un nom de domaine ?
- Les professionnels ont-ils tous l'obligation de désigner un médiateur de la consommation ?
- E-commerce : la délivrance d'une facture est-elle obligatoire ?
- Vente en ligne et fraude à la carte bancaire : qui est responsable ?