Par délibération de la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) du 13 avril 2017, la société Allocab a été sanctionnée pour manquement à ses obligations en sa qualité de responsable de traitement.
Article 34
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès »
La plainte fut adressée à la CNIL par l’un de ses clients qui donna lieu, en mars 2015, à un contrôle de la CNIL qui a constaté :
- absence de détermination de durées de conservation des données bancaires;
- mesures de sécurité inadéquates, notamment en matière de gestion des mots de passe.
Allocab disposait d’un délai de 3 mois pour se conformer. La CNIL diligenta un nouveau contrôle en décembre 2016et constata des manquements. Ce n’est qu’à compter du 13 février 2017 qu’Allocab sera pleinement en conformité, en intégrant :
- mise en place d’une purge automatique des données pour tous les comptes inactifs depuis 15 mois ou plus ;
- cessation de la conservation des cryptogrammes de carte de paiement en collaboration avec son prestataire de paiement;
- cessation de l’envoi en clair de mots de passe (notamment dans le courrier électronique de confirmation de création de compte) ;
- mise en place d’une politique de gestion des mots de passe (les clients sont forcés de sélectionner un mot de passe suffisamment robuste lors de sa création, stockage encrypté, etc.).
Allocab sera sanctionnée d’une amende de 15 000 euros.