Le 18 juillet 2019, par une délibération n° SAN – 2019-007, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction pécuniaire de 180 000 euros rendue publique à l’encontre d’une société pour manquement à l’obligation d’assurer la sécurité des données.
Il est notamment reproché à la société l’absence de mesures élémentaires de sécurité dès la conception de son site Internet ainsi que l’absence de robustesse des mots de passe d’accès aux comptes clients.
Quels sont les enseignements de cette délibération. Mathias Avocats fait le point.
Quels sont les faits ?
Pour les besoins de son activité, la société sanctionnée édite un site Internet sur lequel les internautes peuvent demander des devis, souscrire à des contrats d’assurance et accéder à leur espace personnel.
Le 1er juin 2018, la Cnil a été informée par un client de la société qu’il pouvait avoir accès aux données à caractère personnel d’autres clients sans procédure d’authentification préalable.
Le 27 juin 2018, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a averti la Cnil que l’accès aux données à caractère personnel des internautes du site Internet de la société était possible sans contrôle préalable via un moteur de recherche (Duckduckgo).
Le 28 juin 2018, en application d’une décision de la présidente de la Cnil, une mission de contrôle a été réalisée. Au cours de celle-ci, il a été constaté qu’une requête effectuée au sein d’un moteur de recherche (Duckduckgo) à partir de mots clés faisait apparaître des liens hypertextes permettant l’accès libre à des comptes clients de la société sans authentification préalable.
Ces comptes clients contenaient notamment des données d’identification telles que les nom, prénom, adresse postale, adresse électronique et numéro de téléphone des clients. Il était également possible de télécharger des documents au format PDF tels que des pièces d’identité, des devis, des attestations d’assurance ou encore des contrats d’assurances. En outre, la délégation a constaté qu’il était possible de modifier les adresses URL affichées dans le résultat de la requête au sein du moteur de recherche (Duckduckgo). En changeant le numéro apparaissant à la fin de l’URL, l’internaute pouvait avoir accès aux comptes personnels d’autres clients de la société.
Le 28 juin 2018, la délégation de la Cnil a informé la société de l’existence d’un défaut de sécurité sur son site Internet par téléphone. Elle a également envoyé un courrier électronique contenant le type d’adresses URL concernées. Dans ce contexte, il a été demandé à la société de prendre des mesures correctrices pour remédier au défaut de sécurité dans les plus brefs délais.
À la suite du contrôle, la société a, le 2 juillet 2018, par l’intermédiaire de son conseil, indiqué à la Cnil que plusieurs mesures avaient été prises afin de remédier au défaut de sécurité (sécurisation des liens indexés au sein des différents moteur de recherche, chiffrement et la limitation de la durée de vie d’une heure de l’adresse URL permettant de visualiser les documents stockés, etc.).
Le 12 juillet 2018, à l’occasion d’un nouveau contrôle effectué dans les locaux de la société, la délégation de la Cnil a été informée que des mesures correctrices avaient été prises dès le 29 juin 2018 afin que les documents de ses clients soient inaccessibles pour des tiers non autorisés. A ce titre, la société a précisé avoir modifié le code source de son site Internet ainsi que le paramétrage des documents stockés sur le service Microsoft Azure. En effet, avant l’alerte de la Cnil, celui-ci était configuré de manière que les fichiers soient accessibles publiquement depuis Internet.
La délégation a vérifié l’efficience des mesures correctrices prises par la société et a constaté :
- Qu’une liste de liens hypertextes renvoyant aux comptes clients du site internet de la société étaient toujours affichée dans les résultats de recherche. Bien que ces ces liens hypertextes renvoient vers la page de connexion à l’espace client ou vers un message d’erreur, la délégation a constaté qu’il suffisait de cliquer sur le bouton en cache affiché à côté de l’adresse URL référencée dans les résultats de recherche pour accéder à des pages contenant des données à caractère personnel des clients.
- Que le format du mot de passe de connexion des clients à leur espace personnel imposé par la société correspondait à leur date de naissance et que ce format était indiqué sur les formulaires de connexion.
- Qu’à la suite de la création d’un compte client, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel en clair dans le corps du message.
Au regard de ces éléments, une procédure de sanction pour manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel a été ouverte à l’encontre de la société.
L’absence de mesures élémentaires de sécurité entraînant une violation de données à caractère personnel
En vertu de l’article 32-1 du Règlement général sur la protection des données (RGPD), le responsable de traitement et le sous-traitant doivent mettre en œuvre « des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Par une appréciation in concreto du caractère approprié des mesures techniques et organisationnelles mises en œuvre par la société, la formation restreinte relève que les mesures élémentaires de sécurité n’avaient pas été prises dès la conception du site Internet en 2014.
La formation restreinte relève l’absence de mesure d’authentification préalable. Les données personnelles des clients étaient accessibles sans aucun obstacle, par la formulation d’une requête via des mots clés au sein de moteurs de recherche ou par la modification de l’URL du site Internet de la société.
En l’espèce, la formation restreinte estime que la violation de données à caractère personnel résultant de ce défaut de sécurité aurait pu être évitée par la mise en place de « mesure d’authentification et une gestion des droits d’accès permettant de s’assurer que chaque utilisateur souhaitant accéder à un document était habilité à le consulter ».
De plus, la formation restreinte relève que le défaut de sécurité a été amplifiée du fait de l’indexation des documents des clients accessibles sur le site Internet de la société sur divers moteurs de recherche (Duckduckgo, Bing, Qwant et Yahoo). A cet égard, la Cnil souligne que cette indexation a été possible car la société n’avait pas mis en place de mesures telles que l’utilisation « d’un fichier robot.txt ».
Enfin, la formation restreinte relève qu’il était possible d’accéder aux données à caractère personnel relatives aux clients par la modification du numéro apparaissant dans l’URL affichée dans le navigateur par « une manipulation simple ». Elle rappelle que cette problématique est fréquente et qu’elle a déjà été relevée dans plusieurs délibérations.
A ce titre, la formation restreinte de la Cnil souligne que « l’exposition de ressources sans contrôle d’accès préalable fait partie des dix failles de sécurité les plus à surveiller selon le guide 2017 des bonnes pratiques de l’Open Web Application Security Project » et que « la vérification des paramètres URL fait partie de tous les audits de sécurité web » car il s’agit d’une attaque connue depuis longtemps.
Au regard de ces constatations, la formation restreinte de la Cnil considère que la société n’a pas mis en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la sécurité des données personnelles traitées.
L’absence de robustesse des mots de passe d’accès aux comptes clients
La formation restreinte de la Cnil souligne l’absence de robustesse des mots de passe d’accès aux comptes clients.
Pour ce faire, elle relève que les mots de passe imposés par la société correspondaient à la date de naissance du client concerné. Elle relève également que l’identifiant et le mot de passe étaient transmis en clair par email après la création du compte. Enfin, la société indiquait le format du mot de passe (date de naissance) dans le formulaire de connexion au compte client.
Dans ce contexte, la formation restreinte de la Cnil rappelle que lorsqu’une authentification repose uniquement sur un identifiant et un mot de passe, le format de mot de passe choisi pour assurer un niveau de sécurité suffisant, doit :
- Comporter au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
- Comporter au minimum 8 caractères, contenant trois des quatre catégories de caractères et être accompagné d’une mesure complémentaire (par exemple la temporisation d’accès au compte après plusieurs échecs).
Enfin, la formation restreinte de la Cnil relève que la transmission de mots de passe par courriel en clair ne permet pas d’assurer la sécurité des données à caractère personnel ces courriers pouvant être interceptés.
L’appréciation de la portée du manquement par la formation restreinte de la Cnil
Afin d’apprécier la portée du manquement à l’obligation d’assurer la sécurité et la confidentialité des données à caractère personnel commis par la société, la formation restreinte de la Cnil prend en considération certains éléments.
Tout d’abord, la formation restreinte de la Cnil relève que la société « n’a pas placé la sécurité des données personnelles de ses clients au cœur de ses préoccupations » en notant que :
- La résolution du défaut de sécurité n’a pu être effectuée qu’à la faveur d’un signalement d’un client.
- Les mesures élémentaires nécessaires à la sécurisation des données n’ont été mises en place par la société qu’après le signalement et l’intervention des services de la Commission.
Ensuite, la formation restreinte de la Cnil prend en compte le nombre important de personnes concernées et le volume de données à caractère personnel divulgué :
- Lors du contrôle sur place la délégation a constaté que la base de données contenait 148 359 numéros de téléphone distincts et 144 057 adresses électroniques distinctes concernant des clients de la société ;
- La Cnil relève qu’un grand nombre de documents étaient rendus accessibles (144 890 copies de carte grise, 137 776 copies de permis de conduire, 119 940 relevés d’identité bancaire, 119 517 devis, 36 068 copies de déclarations de cession d’un véhicule).
Enfin, la formation restreinte de la Cnil prend en considération la nature des données à caractère personnel concernées. Certaines données personnelles étaient relatives à des infractions commises par les clients et aux suites qui leur avaient été données (motif de la résiliation ou de l’annulation du contrat, retrait de permis, commission d’un délit de fuite ou d’un refus d’obtempérer).
A ce titre, au regard du Considérant 83 du RGPD, la formation restreinte de la Cnil rappelle que « les mesures permettant d’atténuer les risques inhérents au traitement doivent assurer un niveau de sécurité approprié, y compris la confidentialité, compte tenu de l’état des connaissances et des couts de mise en œuvre par rapport aux risques et à la nature des données à caractère personnel à protéger ».
Ainsi, la formation restreinte de la Cnil énonce qu’en raison de la nature des données (catégories particulières de données), la société aurait dû faire preuve d’une vigilance particulière et mettre en place une protection renforcée.
Une sanction « justifiée et proportionnée » ?
L’article 83 du RGPD prévoit que les amendes administratives doivent être « dans chaque cas, effectives, proportionnées et dissuasives », et qu’elles doivent faire l’objet d’une appréciation au cas par cas.
La formation restreinte justifie le choix d’une sanction pécuniaire rendue publique par plusieurs éléments :
- Le manque de vigilance de la société au regard des données traitées qui sont qualifiées de « des données particulièrement identifiantes » ;
- L’’importance du nombre de documents et de personnes concernées par le défaut de sécurité. Celui-ci ayant affecté « les comptes de plusieurs milliers de clients et de personnes ayant résilié leur contrat avec la société» ;
- Le manque de diligence de la société, depuis 2014, à prendre des mesures de sécurité élémentaires.
Toutefois, la formation restreinte affirme avoir tenu compte d’une série d’éléments permettant de modérer la sanction, à savoir :
- La rapidité de la société à prendre des mesures correctrices « vingt-quatre heures après avoir été alertée par les services de la CNIL» ;
- La coopération de la société avec les services de la Cnil au regard « des différents échanges entretenus avec ses services à la suite des contrôles et de sa bonne foi dans la résolution du défaut de sécurité » ;
- L’information délivrée par la société à ses clients sur la survenance du défaut de sécurité ;
- L’absence de dommage concernant les clients de la société porté à la connaissance de la Cnil.
En tenant compte de ces éléments, la formation restreinte de la Cnil prononce une amende administrative à hauteur de 180 000 euros (contre 375 000 euros demandés par le rapporteur) ainsi qu’une sanction complémentaire de publicité.
Mathias Avocats reste à votre disposition pour vous assister.