Un risque réel, objectif de protection affiché

La sécurité des fichiers de données personnelles accessibles en ligne est dans le viseur de la CNIL. Plusieurs récentes affaires (Hertz France, Darty …) ont mis en lumière la négligence de responsables de traitements et ont permis de dégager plusieurs principes et recommandations à suivre.

Exemple de failles de sécurité

L’une des failles de sécurité les plus connues est l’ajout aux URL d’une chaîne de caractères / requête qui permet d’afficher les données personnelles des clients / abonnés. Dans l’affaire Hertz (Délibération CNIL n°SAN-2017-010 du 18 juillet 2017, 40.000 euros d’amende), les pages affichées faisaient apparaître les données à caractère personnel renseignées par les personnes ayant adhéré à un  programme de réduction, notamment leurs nom et prénom, date de naissance, adresse postale, adresse de messagerie électronique et numéro de permis de conduire (35 327 personnes).

Dans l’affaire Web Editions (Délibération n°SAN-2017-012 du 16 novembre 2017, 25 000 euros d‘amende), en modifiant les derniers numéros d’une URL, correspondant à l’identifiant attribué à une démarche administrative, les informations renseignées par d’autres utilisateurs du site étaient accessibles. Cette faille était due à l’absence de système d’authentification des utilisateurs, lors de leurs démarches en ligne et permettait d’avoir accès notamment aux données d’identification des personnes, ainsi qu’à leur adresse électronique, adresse postale, numéro de téléphone, nom et prénom de leurs parents lorsque la demande portait sur un acte de naissance, ainsi qu’aux descriptifs des faits dans le cadre des dépôts de plainte.

Obligation de diligence

Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès (article 34 de la loi n° 78-17 du 6 janvier 1978).

Une sanction de la CNIL pourra être prononcée lorsque la violation de données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant. La société doit par exemple imposer un cahier des charges à son prestataire s’agissant du développement d’un site. En présence d’opérations techniques délicates (changement de serveur), la société doit s’assurer, à la suite desdites opération, que la mise en production du site a été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité. La sanction pourra être modérée si la société réagit rapidement dès qu’elle a connaissance de la violation de données en alertant son sous-traitant et qu’il est mis fin à la violation de données dans un délai très bref. L’absence d’extraction massive de données par des tiers non autorisés est également un facteur minorant tout comme le fait de procéder à un audit de sécurité du sous-traitant.

La CNIL aura tendance à être moins clémente lorsque le responsable du traitement disposait, dès l’origine, d’un dispositif permettant d’assurer la sécurisation des données à caractère personnel des utilisateurs, mais n’a pas jugé utile d’y recourir, de surcroît lorsque la solution de sécurisation ne représente pas un effort disproportionné et se trouve peu coûteuse). La CNIL tient également compte de la facilité pour opérer la violation des données (par un usage normal du site, par simple modification des URL, sans compétence technique particulière).

Le responsable du traitement doit enfin i) s’assurer de l’absence de vulnérabilité de ses sites internet en amont, en vérifiant, par exemple que leur mise en production a été précédée d’un protocole complet de test ; ii) procéder aux vérifications régulières qui lui incombent quant aux mesures de sécurité mises en place.

Sanction CNIL : l’impact de la LRN du 7 octobre 2016

En matière de sanctions, la loi pour une République numérique du 7 octobre 2016, vise à permettre la sanction des manquements constatés mais ne pouvant plus faire valablement l’objet d’une mise en demeure, soit que le manquement, de portée ponctuelle, ne puisse être corrigé, soit que la mise en conformité ait été entre-temps opérée sans attendre une mise en demeure. Les faits susceptibles d’être directement sanctionnés peuvent donc correspondre, soit i) à des manquements achevés sans intervention d’une mise en demeure, soit, ii) dans d’autres hypothèses, à la partie passée d’un comportement ultérieurement mis en conformité à la suite d’une mise en demeure.

Le législateur a ainsi entendu permettre à la formation restreinte de la CNIL de prononcer une sanction, notamment pécuniaire, en cas de manquement dûment constaté mais pour lequel une mise en demeure, laquelle ne peut avoir d’effets que pour l’avenir, et non pour le passé, serait sans objet. Dans sa version antérieure à la loi du 7 octobre 2016, seul un avertissement pouvait être prononcé dans ce type d’hypothèse.

Les mesures prises par un responsable de traitement pour faire cesser un manquement constaté, s’ils justifient qu’aucune mise en demeure ne lui soit adressée pour l’avenir, ne la privent pas de la possibilité de prononcer une sanction, dans la mesure où la mise en conformité spontanée du responsable de traitement n’a pas pour effet de faire disparaître les manquements passés.