La CNIL inflige 100 000 € d’amende à Darty pour négligence auprès de son sous-traitant

Ca (nous) semble évident comme vérification, néanmoins est-ce bien logique de faire reposer la responsabilité sur le Société qui sollicite un tiers professionnel de l’informatique ?



J’admets sans mal que Darty (tout comme Amazon, la Fnac etc…) ont les moyens d’avoir en interne des pros en sécurité informatique ou de solliciter les services d’une boite pro en ce domaine pour faire des audits de sécurité.



Mais appliquer ce raisonnement à tous les professionnels (dont PME TPE) ça me semble totalement à coté de la plaque (surtout sans sanctionner le “sous-traitant” qui pourtant devrait relever et garantir Darty).



Je doute que les ³⁄₄ des pros qui se mettent sur le net (et qui y sont très largement incités), soient en mesure d’apprécier “les  règles de filtrage des URL” vérification qui “fait partie des tests élémentaires qui doivent être réalisés par une société en matière de sécurité des systèmes informatiques.” (formule un peu abscons au passage et peu pédagogique), ou encore s’agissant d’une solution clef en main d’apprécier “des caractéristiques de ce produit” moins encore “d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci.”

fdorin a écrit :



Tout à fait d’accord. Car dans ce cas, pourquoi se limiter à la responsabilité des sous-traitants informatiques ? Quand on fait appel à un sous-traitant, sa responsabilité devrait être engagé. Ici, on a l’impression que Darty paie tous les pots cassés.



De plus, je note une partie de la réponse de la CNIL : 

si la société EPTICA a mis à disposition le formulaire accessible via l’URLhttp://darty.epticahosting.com/selfdarty/register.do sans que [Darty] n’en ait connaissance, la circonstance qu’elle aurait décidé seule d’ajouter ce moyen de traitement - en plus des autres moyens déterminés dans le cadre du contrat de prestations conclu entre les deux sociétés - ne saurait suffire à la considérer comme responsable de traitement ». 



Dit autrement, si mon comptable, à qui je transmets mes justificatifs, décide d’outrepasser ses droits et de ne pas simplement tenir ma comptabilité, mais qu’il fait de la fraude fiscale ou que sais-je encore, je suis responsable de ce qu’il fait, mais pas lui ?



Ou encore, si je fais appel à un juriste pour un licenciement et qu’il se plante dans la procédure, c’est aussi moi le responsable ?  



Alors oui, je serais responsable d’avoir choisi des prestataires. Mais si je fais appel à des prestataires, c’est pour avoir des personnes qualifiées pour faire leur boulot. Si je dois vérifier en détails si le travail fourni est bon, je ne ferais pas appel à des prestataires et je ferais le travail moi-même !



Personnellement, je me vois mal dire à mes clients, “si vous êtes condamnés pour une chose que j’ai faite, c’est que vous n’aviez qu’à choisir un autre prestataire !”





Oui je suis absolument pas convaincu par la motivation, je peux admettre une obligation de moyen (qui me semble réalisée avec un audit de sécurité et une collaboration avec la CNIL lorsque la difficulté est dénoncée), mais là on fait peser une obligation de résultat pour une boite (d’accord importante) mais dont le domaine d’activité n’est pas la sécurité informatique et qui précisément va rechercher un tiers dont c’est le boulot.



Généralisée sans autre condition d’application, une telle décision pourrait freiner les volontés de proposer des prestations en ligne pour les TPE-PME.

data_gh0st a écrit :



Tout à fait d’accord, ça me rappelle la RGPD qui est très bien pour forcer un peu la main des grosses boites, mais bien délicate à mettre en place pour une PME/TPE qui va devoir se farcir un consultant en plus pour être dans les clous.

   C'est bien le problème de la RGPD: si la CNIL dans sa communication et ses confs reste plutôt bienveillante (la RGPD n'est pas une révolution au regard de la réglementation depuis 2004 en France), en revanche la com. faite par certains sites et mêmes boites d'infos qui se disent les chevaliers blancs(*) des protections des données, a réussi à foutre la trouille à une partie des pros qui prennent la réglementation en grippe, alors qu'il n'y a rien d'insurmontable et là pour la majorité des cas des simples conseils de bonnes pratiques font l'affaire avec un registre de qui fait quoi et comment (et pas un audit à 1 500 € voire largement plus comme j'ai pu le voir).       

  * certaines font maintenant des faux fax et mails de la "Préfecture" en ajoutant qu'à défaut de conformité votre boite sera condamnée à x millions et le chef d'entreprise brulé puis écartelé (j'exagère à peine ^^ ), la CNIL ayant du faire une publication de mise en garde pour dire qu'il s'agissait d'escroquerie.

Nargas a écrit :



Toujours utiliser un UUID comme identifiant et surtout pas de nombre entier incrémenté !





Tu m’intéresses, pourquoi pas un entier incrémenté ? L’UUID me semble pourtant suffisante ?

linkin623 a écrit :



Ben justement, les règles sont les mêmes pour tout le monde, et cher ou pas cher, TPE ou pas, tout le monde doit s’assurer que le service est sécurisé.



Pas de différence spéciale “parce que c’est un TPE”. C’est le jeu du capitalisme (légèrement encadré par la loi).



D’accord avec toi, si l’entreprise choisie est mauvaise, cher ou pas, elle est mauvaise. Mais si j’en crois la sacro-sainte “loi du marché”, l’entreprise mauvaise va disparaître, car trop chère et incompétente.



Ah, on me souffle que ça se passe pas comme ça dans la vraie vie. Mince, la loi du marché n’existe donc pas ?





Cf mon commentaire précédent, soit l’application Jurisprudentielle du critère de compétence.

psn00ps a écrit :



Le test se fait en une minute, pas besoin d’être chercheur " />" />





Toi, moi et la majorité sur Next Inpact sans l’ombre d’un doute.



Mais aujourd’hui tu as beaucoup d’entreprises qui viennent sur le net qui sont des commerçants, artisans ou libéraux, qui souhaitent proposer leurs services classiques (plombier, médecin, installateur de TV etc…) via la prise de rendez-vous en ligne par exemple.



Il est irréaliste de prétendre que la majorité d’entre eux sont en mesure de faire la simple vérification que tu évoques.

psn00ps a écrit :



C’est pour ça que les sous-traitants spécialisés existent.

Il est INportant que Darty soit responsable pour les client et les références futures,

ET le sous-traitant puisqu’il est défaillant alors que c’est son domaine.





Darty est dès à présent et indifféremment de la décision de la CNIL responsable. N’importe qui constate que sa fiche est accessible via le site Darty peut engager sa responsabilité.



Ce qui m’étonne, c’est que Darty soit sanctionné pénalement (puisque c’est bien cela ici) mais pas son prestataire.



Pour être plus exact, Darty devrait être poursuivi au civil par ses clients (et éventuellement assos de consommateurs) et le prestataire devrait l’être au pénal (par la CNIL ou devant un tribunal).



Si d’autres juristes passent, ils vont dire oui mais l’intentionnalité n’est pas nécessaire en matière contraventionnelle, donc pas de problème pour que la CNIL sanctionne. Certes mais là le raisonnement de la contravention peut pas s’appliquer, l’amende est de 100 000 € ici, c’est pas franchement une contravention de 4° classe…

Jnetjur a écrit :



Attention, la sanction de la CNIL est une amende administrative et non pénale. Il ne s’agit pas d’une sanction pénale. 





D’accord pour la précision de la qualification, mais le régime de ces amendes relève de la Jurisprudence du Conseil constitutionnel s’agissant des amendes prononcées par les AAI (à l’époque l’AMF) et donc entre dans “la matière pénale” (matière pénale =! droit pénal).

Tiens pour te forger ton opinion:

. de mémoire la première fois où il est question de matière pénale pour le Conseil Constit et donc de la nature des sanctions rendues par les AAI:

https://actu.dalloz-etudiant.fr/fileadmin/actualites/pdfs/AVRIL_²⁰¹⁵⁄₈₉-260_DC.pdf



 . Et une des dernières applications sur le sujet (et pas des moindres):

https://actu.dalloz-etudiant.fr/a-la-une/article/cumul-des-sanctions-penales-et-administratives-en-cas-dabus-de-marcheou-pas/h/2a7531e13f8aa395d65a16bb7352ae49.html

Jnetjur a écrit :



Il s’agit du non cumul des peines pénales et des amendes administratives. Ca ne veut pas dire que l’amende administrative relève de la matière pénale. 

 Les règles de droit pénal ne s'appliquent pas en l'espèce. Mais en effet, ça empêche les poursuites devant le juge pénal pour les mêmes faits et la même infraction/manquement. On ne peut pas dire qu'il y a eu condamnation pénale pour autant.        

J'avais pas compris que le =! consistait en : c'est différent.      

Il s'agit uniquement de terminologie. 

Les amendes prononcées par les AAI relèvent de la matière pénale : concept mal défini mais qui permet d'aller chercher les principes de bases de cette matière (évidemment applicable au droit pénal) ; organes de poursuites différents de celui qui juge, principe de non auto-accusation, principe d'égalité des armes, procédure d'instruction encadrée avec accès au dossier, droit de la défense etc...     

Le Conseil Constit l’avait dégagé à propos de l’AMF afin de savoir comment articuler le quantum des peines entre le quatum d’amende prononcée par l’AMF et le quatum prévu par le Code pénal pour la même infraction (premier lien). Pour arbitrer il a indique que si cela ne relevait pas du Code pénal, cela se rattachait à la “matière pénale”.



C’était l’objet de ma précision, puisque par facilité j’avais parlé du raisonnement appliqué s’agissant des contraventions pour les amendes (qui donc pour l’essentiel ne nécessite pas d’intentionnalité, avec le bémol des infractions de presse par exemple).



Suite à ton intervention j’ai donc rectifié, en ne parlant pas de droit pénal mais de matière pénale, ce que sont les amendes prononcées par les AAI, ceci indifféremment de l’ordre judiciaire ou administratif (ce dernier naturellement accueillant les recours contre les décisions des AAI et plus précisément le Conseil d’Etat).