Amendes pour le responsable du traitement et son sous-traitant, le RGPD sonne la fin de la responsabilité unique.
150 000€ d'amende pour le responsable de traitement d'un site d'e-commerce pour mesures de sécurité insuffisantes et 75 000€ pour... son sous-traitant!
La CNIL ayant reçu des dizaines de notifications de violations de données personnelles a décidé de mener des contrôles auprès du responsable de traitement et du sous-traitant d'un site internet. Environ 40 000 personnes ont vu leurs données personnelles rendues accessibles à des tiers non-autorisés pendant 1 an; en cause des mesures de sécurité insuffisantes.
Le site était victime d'attaques par bourrage d'identifiants (ou credential stuffing), technique qui consiste par le biais de robots de tenter un grand nombre de connexions grâce à des identifiants/mots de passe récupérés illégalement (les utilisateurs ont tendance à utiliser les mêmes sur différentes plateformes). Il a notamment été reproché au responsable et au sous-traitant de ne pas avoir priorisé les actions à mener pour contrer ces attaques.
Cette décision est d'une importance particulière car c'est la première fois que la CNIL sanctionne également le sous-traitant pour défaut de conseil. On remarque dans la décision que le responsable de traitement reste le responsable en premier lieu, même en cas de défaillance du sous-traitant, mais que ces derniers sont tenus de "rechercher les solutions techniques et organisationnelles les plus appropriées".
Il va être essentiel de définir, contractuellement, les rôles et responsabilités de chacun à l'avenir.
Crédit image : Pixabay