CNIL24 novembre 2022CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié, points 25-27(source)
Recueil du consentement à des fins de prospection commerciale par voie électronique – Courtiers en données en charge de la collecte du consentement – Mesures mises en place par les prospecteurs pour s'assurer de la validité du consentement donné par les prospects – Insuffisance en l'espèce
Lorsque des courtiers en données sont en charge de la collecte du consentement aux fins de prospection commerciale pour le compte d'un responsable de traitement, un simple engagement contractuel desdits courtiers visant à « respecter le RGPD et les règles applicables en matière de prospection commerciale » n'est pas une mesure suffisante pour s'assurer que le consentement a été valablement donné par les prospects avant d'être démarchés lorsqu'un tel engagement ne se double pas d'un contrôle des formulaires de recueil utilisés ou d'audits portant sur les sociétés partenaires mobilisées. Une telle insuffisance est susceptible de constituer un manquement du responsable du traitement aux obligations résultant des articles L. 34‑5 du code des postes et des communications électroniques et 7, paragraphe 1, du RGPD, tel qu'éclairé par les dispositions de l'article 4, paragraphe 11 de ce même règlement.
CE26 avril 2022CE, 10 chambre, 26 avril 2022, Optical Center, n° 449284, Inédit., point 5(source)
Absence de contrôle régular des mesures techniques et organisationnelles prises par le sous-traitant – Insuffisante robustesse de la politique de mots de passe – Manquements à l'article 32 RGPD
L'absence de contrôle régulier par un responsable du traitement d'un contrôle régulier sur les mesures techniques et organisationnelles prises par son sous-traitant chargé d'assurer la sécurité de son site web a pour conséquence directe la vulnérabilité du système informatique, à l'origine de la violation des données de près de 200 000 clients européens. Le manque de robustesse de la politique de mots de passe de la société, eu égard aux catégories de données traitées qui incluent notamment le numéro de sécurité sociale de ses clients, accroît l'exposition du système à un risque d'attaque informatique. Ces faits sont de nature à caractériser un manquement aux dispositions de l’article 32 du RGPD.
CNIL26 avril 2022CNIL, FR, 11 mai 2023, Sanction, Société X, n° SAN-2023-006, publié, point 33 Voir aussi: CE, 10 ème chambre, 26 avril 2022, Optical Center, n° 449284, Inédit; CNIL, FR, 24 novembre 2022, Sanction, Société X, n° SAN-2022-021, publié(source)
Suivi des instructions contractuelles par le sous-traitant – Contrôle par le responsable de traitement
Si le responsable de traitement peut décider de recourir à un prestataire spécialisé, en particulier en lui confiant une mission de sous-traitance des données à caractère personnel, au sens du RGPD, il reste tenu de veiller, par des diligences raisonnables, à ce que le respect de la protection des données à caractère personnel soit effectivement assuré. Le caractère suffisant de ces diligences dépend notamment des compétences et des moyens du responsable de traitement. La responsabilité du responsable de traitement peut être retenue du fait de l’absence de mise en œuvre par celui‑ci d’un contrôle régulier sur les mesures techniques et organisationnelles prises par un sous-traitant.
