Le 16 novembre 2017, la Commission nationale de l’informatique et des libertés a prononcé une sanction pécuniaire de 25 000€ contre un responsable de traitement ayant manqué à son obligation d’assurer la sécurité des données à caractère personnel (Délibération n°SAN-2017-012 du 16 novembre 2017).
Mathias Avocats revient sur cette délibération.
Quels sont les faits ?
En l’espèce, le responsable du traitement est une société dont l’activité principale est l’édition de sites Internet à partir desquelles des démarches administratives peuvent être réalisées de manière dématérialisée (dépôt de plainte, demande d’acte de naissance, demande de certificat de non gage…).
En fin d’année dernière, la Commission nationale de l’informatique et des libertés a été alertée par un tiers d’un incident de sécurité affectant trois sites édités par le responsable du traitement précité. Compte tenu de cet incident, des données à caractère personnel renseignées sur les formulaires de collecte étaient accessibles.
Dans ce contexte, la Cnil a d’abord procédé à plusieurs contrôles en ligne, tel que l’article 44, III de loi Informatique et libertés le lui permet. Au terme de ces derniers, il est notamment apparu que la modification de certains numéros de l’identifiant attribué lors de la réalisation de la démarche permettait d’accéder aux données à caractère personnel d’un autre utilisateur (adresse électronique, adresse postale, numéro de téléphone, nom et prénom des parents, faits déclarés en cas de dépôt de plainte…). Aussi, la Cnil s’est rapprochée de la société éditrice, laquelle s’est engagée à prendre des mesures correctrices (mise en place d’un cookie identifiant de session). L’autorité a ensuite procédé à un contrôle sur place en février 2017 pour vérifier lesdites mesures correctrices.
Au vu des éléments constatés, une procédure de sanction a été engagée contre le responsable du traitement. Le rapporteur proposait à la formation restreinte de la Cnil de prononcer une sanction pécuniaire rendue publique supérieure ou égale à 200 000 euros. Suite aux observations écrites formulées par le responsable du traitement dans le cadre de la procédure de sanction, le rapporteur a finalement ramené sa proposition de sanction pécuniaire à 120 000 euros.
La sécurité des données en question
La loi Informatique et Libertés impose à tout responsable du traitement d’assurer la sécurité des données à caractère personnel traitées en mettant en oeuvre les mesures adaptées notamment à la nature desdites données et des risques présentés (article 34 de la loi Informatique et Libertés). Cette obligation est non seulement maintenue mais renforcée par le Règlement général sur la protection des données (article 32 du RGPD).
Pour conclure au manquement du responsable du traitement la Cnil prend en compte plusieurs éléments :
- l’accessibilité des données à caractère personnel à des tiers non autorisés alors même que selon l’autorité de contrôle l’entité disposait d’une solution de sécurisation.
- la simplicité de la mise en oeuvre de la solution de sécurisation eu égard à la rapidité avec laquelle elle a été installée.
- la capacité pour tout profane d’accéder aux données de tiers sans qu’il soit nécessaire de disposer de compétences techniques et informatiques spécifiques.
- l’absence de tests de la vulnérabilité des sites Internet préalablement au déploiement ainsi que l’absence de vérification de la qualité des mesures de sécurité mises en oeuvre.
Pour fixer le montant de la sanction à 25 000€, la Cnil a notamment pris en compte le nombre de personnes concernées (plusieurs milliers de personnes), la catégorie des données rendues accessibles à des tiers non autorisés (données de santé, données relatives à des infractions…), la taille de l’entité (quatre salariés) et sa situation financière. La Cnil a également pris en compte la coopération du responsable du traitement dans le cadre des contrôles diligentés ainsi que les mesures correctrices mises en oeuvre.
Que retenir ?
Cette délibération rappelle que la sécurité des données à caractère personnel est un enjeu dont les entités traitant des données à caractère personnel doivent se saisir non seulement lors de l’analyse des traitements en se référant à l’état de l’art, mais aussi tout au long de son cycle de vie en réalisant des audits. La détection d’incidents de sécurité prendra également une autre dimension à compter du 25 mai 2018 compte tenu de la généralisation de la notification des violations de données à la Cnil, voire aux personnes concernées.