Focus sur les sanctions simultanées d'un responsable du traitement et d'un sous-traitant Dans le cadre d'un communiqué de presse publié le 27 janvier 2021, la CNIL a annoncé avoir sanctionné pour la 1re fois dans le cadre du même contentieux un responsable du traitement et son sous-traitant respectivement pour un montant de 150 000 et 75 000 euros. Dans cette affaire liée à un phénomène de credential stuffing, la CNIL a rappelé qu'il incombait au sous-traitant de « rechercher les solutions techniques et organisationnelles les plus appropriées pour assurer la sécurité des données personnelles, et les proposer au responsable de traitement ». L'autorité polonaise de protection des données a, quant à elle, sanctionné en janvier 2022 une entreprise et son sous-traitant à hauteur respectivement d'1 million d'euros et de 53 000 euros pour violation de la confidentialité des données et un défaut de sécurité, le sous-traitant ayant notamment utilisé des données de production pour procéder à des tests, base de données ayant été rendue accessible à des tiers (Fortum Marketing and Sales Polska S.A, DKN. et PIKA Sp. z o.o. DKN.5130.2215.2020). 58