Le 26 décembre 2018, la formation restreinte de la Commission Nationale de l’Informatique et des Libertés (CNIL) a prononcé une sanction pécuniaire de 250 000 euros à l’encontre de la société Bouygues Telecom pour manquement à son obligation d’assurer la sécurité et la confidentialité des données à caractère personnel (Délibération n°SAN-2018-012 du 26 décembre 2018). Durant deux ans et trois mois, un défaut de sécurité a permis à tout internaute d’accéder à des contrats souscrits par des clients ayant créé leur compte entre juillet 2011 et décembre 2014.
Cette délibération du 26 décembre 2018, riche d’enseignements, permet de mieux appréhender la mise en œuvre de l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel traitées.
Mathias Avocats fait le point sur cette nouvelle délibération.
Une erreur humaine à l’origine de la faille
Le 2 mars 2018, un internaute a signalé à la CNIL un défaut de sécurité sur le site Internet de la société. Celui-ci permettait à tout internaute d’accéder à des documents contenant des données à caractère personnel. A partir d’une même URL-type et en modifiant ses derniers caractères, il était possible d’afficher le contrat de souscription d’un client, comme illustré ci-contre : « https://www.bouyguestelecom.fr/archived/index/printcontract/archived_id/X », où X représente un nombre entier.
En principe, il était nécessaire d’être authentifié et connecté à l’espace client correspondant pour accéder au document. Cependant, ce mécanisme d’authentification avait été désactivé lors de tests effectués à la suite de la fusion de deux bases de données, et n’avait jamais été réactivé. Cette erreur humaine est à l’origine du défaut de sécurité.
L’obligation de sécurité, une obligation de moyen ou de résultat ?
Les constats étant antérieurs au 25 mai 2018, le Règlement général sur la protection des données (RGPD) ne s’appliquait pas à la procédure. La loi n°78-17 du 6 janvier 1978 dite « loi Informatique et Libertés » consacrait, en son article 34, une obligation de sécurité à la charge du responsable du traitement. Ce dernier était, à ce titre, « tenu de prendre toutes précautions utiles […] pour préserver la sécurité des données » et notamment s’assurer que des tiers ne puissent y avoir accès. Pour se défendre, la société s’appuie sur la distinction juridique entre l’obligation de résultat et l’obligation de moyen. Plus précisément, elle souligne que l’obligation d’assurer la sécurité des données constitue une obligation de moyen, non une obligation de résultat. Rappelons que lorsqu’une obligation est de résultat, celui à qui elle incombe s’engage à atteindre le résultat attendu, tandis que lorsqu’elle est de moyen, il s’engage à mettre en œuvre des moyens et efforts raisonnables dans ce même but. Il y a manquement à une obligation de résultat quand ce dernier n’est pas atteint, pour une quelconque raison. Il y a manquement à une obligation de moyens quand les efforts fournis étaient insuffisants : la simple non-atteinte du résultat ne suffit pas à constituer le manquement. Dans ce contexte, la société indique ainsi n’avoir commis aucun manquement car le défaut de sécurité « ne résulte pas de l’insuffisance des mesures qu’elle aurait prises en matière de sécurité mais d’une erreur humaine ». Elle poursuit en soutenant que si l’obligation de sécurité est qualifiée d’obligation de résultat, cela « revient à rendre imputable à un responsable de traitement n’importe quelle violation de données à caractère personnel, quelles que soient les circonstances dans lesquelles serait intervenue cette violation ». La formation restreinte ne contredit pas cet argumentaire. En 2014, elle avait déjà approuvé ce raisonnement en indiquant que l’obligation « relative à la sécurité et à la confidentialité des données [est une] obligation de moyens » (délibération n°2014-298 du 7 août 2014). La formation restreinte s’attache plutôt à examiner l’adéquation des mesures de sécurité mises en œuvre par la société.
Qu’est-ce qui constitue une mesure suffisante ?
La formation restreinte le rappelle : aucune mesure technique spécifique n’est obligatoire au titre de l’obligation de sécurité, « l’article 34 précité n’étant pas prescriptif quant aux mesures devant être déployées […] tant que l’obligation est, in fine, respectée ». Le responsable du traitement est donc libre d’opter pour les mesures de son choix, voire pour une seule mesure s’il l’estime suffisante pour garantir en continu la sécurité des données.
Il résulte de la délibération rendue que la société mise en cause a fait le choix de n’employer qu’une seule mesure pour sécuriser l’accès aux contrats et assurer la confidentialité des données, un mécanisme d’authentification. La formation restreinte de la CNIL en a donc déduit que le choix fait par la société de ne pas mettre en place de mesures complémentaires mettait à sa charge « une obligation particulièrement renforcée quant à la vigilance qu’il convenait de porter à cette unique mesure de sécurité ».
La société soutient avoir été vigilante. Elle indique qu’il n’était pas envisageable de procéder à une revue manuelle de l’intégralité des nombreuses lignes de code du site internet. Elle a cependant procédé régulièrement à des tests d’intrusion et des audits automatisés du code de son site.
La formation restreinte de la CNIL estime néanmoins que ces mesures étaient insuffisantes. Ainsi, pour l’autorité de contrôle les tests menés étaient inefficaces, faute d’être adaptés aux spécificités de la base de données issue d’une fusion. De plus, elle indique qu’une revue manuelle du code centrée sur les sections implémentant l’authentification aurait dû être menée. De fait, une telle revue aurait permis de détecter immédiatement l’erreur humaine. En effet, un commentaire intégré dans le code informatique indiquait clairement la marche à suivre à l’issue de la phase de test pour réactiver le système d’authentification.
Pour la formation restreinte, ces éléments sont constitutifs d’un manque de vigilance ayant permis au défaut de sécurité de perdurer durant plus de deux ans. Ce manque de vigilance est qualifié par la CNIL de manquement à l’obligation de sécurité, et non l’erreur humaine à l’origine de la vulnérabilité.
La publicité des sanctions, un automatisme ?
En réponse au manquement identifié, la formation restreinte a prononcé à l’encontre de la société une sanction d’un montant de 250 000 euros, au regard du nombre de données et de personnes concernées par la violation, et de sa durée. La formation restreinte a de plus décidé de rendre cette sanction publique.
Le RGPD ne comporte pas de dispositions relatives à la publication des sanctions. Ce point n’a pas non plus été abordé par le Groupe de travail de l’article 29 (G29) dans ses lignes directrices portant sur l’application et la fixation des amendes administratives au regard du RGPD (WP253).
La loi n°78-17 dite « loi Informatique et Libertés » prévoit en son article 47 que « la formation restreinte peut rendre publiques les mesures qu’elle prend », en ce compris les amendes administratives. Toutefois, ni la loi Informatique et Libertés, ni son décret d’application n°2005-1309 ne précisent les motifs sur lesquels la formation restreinte se fonde pour rendre publique une décision.
La formation restreinte justifie la publicité de la présente décision par trois motifs :
- La « gravité du manquement précité » ;
- Le « contexte actuel dans lequel se multiplient les incidents de sécurité » ;
- La « nécessité de sensibiliser les responsables de traitements et les internautes quant aux risques pesant sur la sécurité des données ».
Le premier motif est cité dans le RGPD comme l’un des éléments devant être pris en compte lors de l’évaluation du montant d’une sanction pécuniaire (article 83 2. a) ). Ce n’est toutefois pas le cas des deux autres motifs.
Il convient de noter qu’en 2018, la formation restreinte a systématiquement invoqué ces deux derniers motifs pour justifier la publicité de sanctions pour manquement à l’obligation de sécurité. Les délibérations portant sur les sociétés Uber, Optical Center, Dailymotion et Darty, ou encore l’association Alliance Française Paris Ile-de-France et l’Association pour le Développement des Foyers l’illustrent.
Le recours systématique à ces deux motifs peut interroger, car ils sont sans lien direct avec les entités mises en cause ou les faits qui leur sont reprochés. Cela pourrait ouvrir la voie à une publication systématique des sanctions pour manquement à l’obligation de sécurité, sans que ne soit prise en compte chaque situation particulière.