|
[well type= » »][icon type= »fa fa-cube » color= »#dd3333″] Réflexe juridique
Les éditeurs de sites internet dont une partie donne accès à des données personnelles, ont l’obligation de veiller à mettre en place une politique de sécurité de leur site (audit, suivi, alertes …). [/well] Affaire Bouygues TélécomEn 2018, la CNIL a été informée d’une faille de sécurité sur le site bouyguestelecom.fr donnant la possibilité d’accéder à des documents contenant des données à caractère personnel de clients de la société. L’accès était rendu possible à partir de plusieurs adresses URL ayant une structure identique. Manquement à l’obligation d’assurer la sécurité et la confidentialité des donnéesL’article 34 de la loi du 6 janvier 1978 modifiée, dans sa version applicable au jour des constats, dispose que le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès . La CNIL a considéré que bien qu’une mesure visant à rendre les adresses URL imprévisibles puisse apparaitre adaptée et proportionnée en l’espèce, au regard du nombre de données à caractère personnel accessibles, de la nécessité de les protéger, et de la fragilité induite par l’existence d’adresses URL prévisibles, d’autres mesures pouvaient également permettre d’assurer une protection équivalente des données traitées. Les précautions à prendre pour préserver la sécurité des données relèvent de la responsabilité du responsable de traitement. En l’espèce, la société Bouygues Télécom a fait le choix de ne pas mettre en œuvre de mesure complémentaire à l’authentification des utilisateurs de son site web. Ce choix a fait peser sur la société une obligation particulièrement renforcée quant à la vigilance qu’il convenait de porter à cette unique mesure de sécurité. Question de l’audit par des prestatairesEn second lieu, sur l’attention portée à la mesure de protection mise en place, Bouygues Télécom affirmait avoir réalisé de nombreux audits et tests de sécurité afin de mettre à l’épreuve la protection des données à caractère personnel qu’elle traite. Ces tests ont été réalisés chaque année, tant directement par la société que par l’intermédiaire de prestataires extérieurs. Or, si l’oubli de réactiver le code rendant nécessaire l’authentification des utilisateurs sur le site web de la société est effectivement une erreur humaine, dont la société ne peut se prémunir totalement, le fait de ne pas avoir mis en œuvre, pendant plus de deux années, les mesures efficaces permettant de découvrir cette erreur constitue une violation des obligations imposées par l’article 34 susvisé. Des mesures de revue automatisée du code adaptées aux spécificités du système d’information hérité et une revue manuelle de la partie du code en charge de l’authentification auraient permis de découvrir la vulnérabilité et d’y remédier. La société n’a donc pas porté à la base en question l’attention nécessaire pour assurer la sécurité des données personnelles traitées. 250 000 euros de sanctionLa gravité de la violation était caractérisée en raison du nombre de données et de personnes concernées par la violation ainsi qu’en raison de sa durée. En effet, la violation de données a concerné plus de deux millions d’utilisateurs, soit un nombre très important de personnes, et des données identifiantes telles que le nom, le prénom, la date de naissance, l’adresse de courrier électronique, l’adresse physique, le numéro de téléphone mobile (250 000 euros de sanction).
|
→ Questions / Réponses juridiques
Quelle obligation ont les éditeurs de sites internet concernant la sécurité des données personnelles ?Les éditeurs de sites internet qui traitent des données personnelles sont tenus de mettre en place une politique de sécurité rigoureuse. Cela inclut la réalisation d’audits réguliers, le suivi des mesures de sécurité et la mise en place d’alertes pour détecter toute anomalie. Cette obligation vise à protéger les données contre des accès non autorisés, des déformations ou des dommages. En cas de manquement, les éditeurs peuvent être tenus responsables des violations de données, ce qui peut entraîner des sanctions financières et juridiques. Qu’est-ce qui s’est passé dans l’affaire Bouygues Télécom en 2018 ?En 2018, la CNIL a été alertée d’une faille de sécurité sur le site bouyguestelecom.fr. Cette faille permettait d’accéder à des documents contenant des données personnelles de clients, accessibles via plusieurs adresses URL identiques. Cette situation a mis en lumière les lacunes dans la sécurité des données de la société, soulevant des questions sur la conformité aux obligations légales en matière de protection des données personnelles. Quels manquements ont été identifiés concernant la sécurité des données chez Bouygues Télécom ?La CNIL a constaté que Bouygues Télécom n’avait pas pris les mesures nécessaires pour assurer la sécurité et la confidentialité des données personnelles. Selon l’article 34 de la loi du 6 janvier 1978, le responsable du traitement doit prendre toutes les précautions utiles pour protéger les données. Bien que la société ait mis en place une mesure d’authentification, elle n’a pas complété cette mesure par d’autres protections, ce qui a accru sa responsabilité en matière de sécurité. La CNIL a jugé que d’autres mesures auraient pu être mises en œuvre pour garantir la sécurité des données. Comment Bouygues Télécom a-t-elle justifié ses pratiques de sécurité ?Bouygues Télécom a affirmé avoir réalisé de nombreux audits et tests de sécurité pour évaluer la protection des données personnelles. Ces tests étaient effectués chaque année, tant en interne qu’avec des prestataires externes. Cependant, malgré ces audits, la société a omis de réactiver une mesure d’authentification essentielle pendant plus de deux ans. Cette négligence a été considérée comme une violation des obligations de sécurité, car des mesures de revue du code auraient pu détecter cette vulnérabilité. Quelle a été la sanction imposée à Bouygues Télécom pour cette violation ?La CNIL a infligé une amende de 250 000 euros à Bouygues Télécom en raison de la gravité de la violation. Cette sanction a été justifiée par le nombre élevé de données et de personnes concernées, ainsi que par la durée de la faille de sécurité. Plus de deux millions d’utilisateurs ont été affectés, et des données sensibles telles que le nom, le prénom, la date de naissance, l’adresse e-mail, l’adresse physique et le numéro de téléphone mobile ont été compromises. Cette situation a mis en évidence l’importance de la conformité aux réglementations sur la protection des données. |
Laisser un commentaire