Depuis le début de l’année 2024, la Commission Nationale de l’Informatique et des Libertés (CNIL) a intensifié ses efforts de régulation en prononçant quinze nouvelles sanctions selon une procédure simplifiée. Le montant total des amendes s’élève à 98 500 euros, démontrant un engagement accru par rapport à l’année précédente.
Qu’est-ce que la procédure simplifiée ?
Contrairement à la procédure ordinaire, les modalités de mise en œuvre de la procédure simplifiée sont plus légères : le président de la formation restreinte (ou un membre qu’il désigne) statue seul et aucune séance publique n’est organisée, sauf si l’organisme demande à être entendu.
La procédure simplifiée ?
Pour rappel, dans le cadre de la procédure simplifiée, les sanctions pouvant être prononcées sont une amende d’un montant maximum de 20 000 €, une injonction avec astreinte plafonnée à 100 € par jour de retard ou un rappel à l’ordre. Les noms des organismes concernés ne peuvent pas être rendus publics. Cette procédure permet à la CNIL de prendre rapidement des mesures pour des dossiers ne présentant pas de difficulté particulière.
Comparaison Annuelle des Sanctions
En 2023, la CNIL avait établi 24 décisions similaires. La hausse significative des sanctions en début d’année suggère une attention renforcée aux manquements en matière de protection des données personnelles.
Les Manquements Sanctionnés
Les infractions couvrent un éventail de manquements cruciaux, incluant l’insuffisance dans les missions et ressources allouées au délégué à la protection des données, une coopération insuffisante avec la CNIL, des failles de sécurité des données, et des violations du respect des droits individuels.
Manquement aux Devoirs du Délégué à la Protection des Données
Un cas notable concerne un organisme n’impliquant pas suffisamment son DPO, crucial dans l’orientation et le contrôle des pratiques de protection des données. Cela inclut l’absence de communication essentielle et un accès limité aux outils permettant de garantir les droits des personnes concernées.
Infractions en Matière de Prospection Politique
La période électorale a mis en lumière des manquements significatifs à l’obligation d’information lors de campagnes de prospection politique, entraînant une sanction pour une association politique.
Défaillances de Sécurité des Données Personnelles
Sites aux TLS obsolètes
Des vulnérabilités liées à l’utilisation de protocoles TLS obsolètes et de suites cryptographiques non sécurisées ont également conduit à des sanctions. Ces défaillances soulignent l’importance de maintenir des standards de sécurité à jour pour protéger les données transmises en ligne.
Plusieurs organismes avaient fait l’objet d’une mise en demeure portant sur la mise en conformité de leurs sites web car ils n’utilisaient pas de versions du protocole TLS récentes et exemptes de vulnérabilité ni de suites cryptographiques conformes à l’état de l’art.
Ces organismes continuaient à utiliser le protocole TLS 1.0 ou 1.1, alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’Agence nationale de la sécurité et des systèmes d’informations (ANSSI), la fonction de hachage SHA-1 qui n’est plus considérée comme sûre, car elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.
Le protocole TLS (Transport Layer Security) constitue une pierre angulaire de la sécurité sur Internet, permettant la protection des données en transit entre clients et serveurs. Il assure trois fonctions essentielles : la confidentialité, l’intégrité des données, et la prévention contre le rejeu des données. Ce protocole garantit également l’authentification du serveur et, selon les configurations, celle du client.
Historique et Évolution du Protocole
Depuis son introduction en 1995, succédant à SSL (Secure Sockets Layer), le protocole TLS a été largement adopté pour sécuriser les communications sur Internet, notamment pour les sites web et la messagerie électronique. Il joue également un rôle crucial dans la protection des flux d’infrastructure internes. L’évolution de TLS est le résultat d’un effort continu de recherche et de développement, visant à identifier et corriger les vulnérabilités.
Les Enjeux de la Sécurité TLS
La sécurité offerte par TLS dépend fortement de l’emploi de logiciels à jour et de la configuration adéquate des paramètres du protocole. Ces ajustements sont cruciaux pour contrer les menaces et garantir la sécurité des échanges. La détection des vulnérabilités dans le protocole a conduit à l’amélioration continue de TLS, par le biais de mises à jour et de contre-mesures efficaces.
Recommandations pour une Sécurité Optimale
Pour maximiser la sécurité des échanges via TLS, il est recommandé de suivre les bonnes pratiques en matière de choix des suites cryptographiques et de configuration du protocole. Ces recommandations sont destinées à assurer une conformité aux normes de sécurité actuelles et à prévenir les risques de compromission.