La formation restreinte de la Commission Nationale de l’Informatique et Libertés (la « CNIL ») est en charge de prononcer les sanctions à la suite de manquements au Règlement Général sur la Protection des Données (le « RGPD »).
Sous les feux de la rampe depuis plusieurs mois, cette formation fait parler d’elle par les sanctions qu’elle prononce.
La fin de l’année 2020 a été marquée par des amendes très élevées : 60 millions d’euros ou encore 35 millions d’euros. Même les joueurs du Loto n’espèrent pas des gains aussi élevés !
Dans une délibération récente, la CNIL a sanctionné un éditeur de site et son sous-traitant qui en assurait la gestion en l’absence de mise en œuvre de mesures satisfaisantes pour faire face à des attaques informatiques par bourrage d’identifiants (« credential stuffing »).
Cette technique consiste en la récupération des listes d’identifiants et de mots de passe disponibles sur l’internet à la suite d’une fraude et la tentative de connexion à un grand nombre de sites au moyen de robots pour s’authentifier et récupérer des informations, telles que le nom, le prénom, l’email, le numéro de carte de fidélité, etc.
La CNIL inflige 150.000 € à l’éditeur du site, qui n’a pas décidé suffisamment rapidement des mesures à mettre en place et 75.000 € à son sous-traitant, qui n’a pas proposé de solutions techniques et organisationnelles appropriées, manquant ainsi tous les deux à leur obligation de préserver la sécurité des données personnelles des clients.
Cette double sanction du responsable de traitement et du sous-traitant est à retenir car elle confirme la responsabilité de chaque acteur aux termes du RGPD.
A bon entendeur…
