Entre 2017 et 2018, environ 70% des décisions publiques rendues par la CNIL ont sanctionné pécuniairement le manquement aux obligations de sécurité et de confidentialité du responsable de traitement. L’obligation d’assurer la sécurité est un des principes clefs du traitement des données à caractère personnel dans la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, vient renforcer ce principe. La sécurité des données est donc un enjeu majeur à prendre en compte dans la gouvernance des outils et systèmes informatiques.

Paris, le 29 avril 2019 – Entre 2017 et 2018, environ 70% des décisions publiques rendues par la CNIL ont sanctionné pécuniairement le manquement aux obligations de sécurité et de confidentialité du responsable de traitement.

L’obligation d’assurer la sécurité est un des principes clefs du traitement des données à caractère personnel dans la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, vient renforcer ce principe.

La sécurité des données est donc un enjeu majeur à prendre en compte dans la gouvernance des outils et systèmes informatiques.

Qui ? Garant de la sécurité des données, le responsable de traitement [le cas échéant, le sous-traitant1] doit prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C’est le principe que posent l’article 34 de la loi Informatique et Libertés et l’article 5 du RGPD.

Quoi ? L’obligation de sécurité concerne toutes les données à caractère personnel et pas seulement les données dites « sensibles »2. En effet, la qualification de données sensibles est sans influence sur la caractérisation du manquement à l’obligation d’assurer la sécurité des données traitées.

Comment ? Par des « des moyens propres » et « des mesures techniques et organisationnelles appropriées » pour assurer la sécurité des données et garantir un niveau de sécurité adapté au risque. Ni l’article 34 de la loi Informatique et Libertés, ni l’article 32 du RGPD ne sont prescriptifs quant aux mesures à déployer par le responsable de traitement, tant que l’obligation de garantir la sécurité est, in fine, respectée.

Quelles sanctions ? En fonction de la catégorie de l’infraction, l’autorité de contrôle (en France, la CNIL) peut imposer des sanctions d’un montant entre 10 ou 20 millions d’euros, ou, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de la société.

Avant même l’entrée en application du RGPD, la CNIL a eu l’occasion de sanctionner des manquements aux obligations de sécurité et de confidentialité des données, notamment dans ses décisions récentes Dailymotion (amende de 50.000 euros), l’ADEF (75.000 euros), Optical Center (250.000 euros), HERTZ (40.000 euros), DARTY (100.000 euros), l’Association Alliance Française Paris île de France (30.000 euros), Bouygues Telecom (250.000 euros) ou encore Uber France SAS (400.000 euros).

Ces décisions permettent de dresser des leçons pour adopter les bonnes pratiques afin d’assurer la sécurité des données.

LECON 1 : METTRE EN PLACE DES MESURES ELEMENTAIRES DE SECURITE

Dans les différentes espèces soumises à la CNIL, on peut recenser notamment :

  • L’absence de mise en place de dispositif permettant d’éviter la prévisibilité des URL ;
  • L’absence de procédure d’identification ou d’authentification des utilisateurs (par exemple, un site internet qui n’intègre pas de fonctionnalité permettant de vérifier qu’un client s’est bien authentifié à son espace personnel avant d’accéder aux documents) ;
  • L’absence de test de vulnérabilité des sites internet en amont (en vérifiant par exemple, que leur mise en production avait été précédée d’un protocole complet de test).

Le RGPD instaure une logique de protection des données dès la conception et par défaut. Par conséquent, dès la conception d’outils ou systèmes informatiques, il est recommandé de suivre les démarches élémentaires suivantes :

  • Vérifier les règles de filtrage des URL (par exemple, la modification d’un mot présent dans l’URL) ;
  • En cas de connexion à distance au réseau informatique interne d’une entreprise, a minima, mettre en place des mesures de filtrage des adresses IP pour autoriser seulement des adresses IP identifiées et autorisées, ou alors utiliser un VPN.
  • Envisager de mettre en place une procédure d’identification ou d’authentification des utilisateurs du site web pour protéger les informations enregistrées (par exemple, téléversement de document) ;
  • En cas d’authentification par un utilisateur, les identifications ne doivent pas être divulguées ni stockées dans un fichier non protégé ;
  • Pour les mots de passe, suivre scrupuleusement la délibération n°2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe de la CNIL (identifiant unique par utilisateur, mot de passe complexe, changements de mot de passe réguliers, verrouillage du compte après plusieurs échecs, …) ;
  • Pour les accès aux postes de travail, paramétrer le verrouillage automatique en cas d’inactivité ; installer un « pare-feu », utiliser des antivirus régulièrement mis à jour (…) ;
  • En cas de recours à des prestataires, vérifier les caractéristiques des produits, outils et systèmes informatiques
  • (…).

LECON 2 : CONTROLER REGULIEREMENT LA SECURITE DE VOS OUTILS ET SYSTEMES INFORMATIQUES

Dans la plupart des décisions rendue par la CNIL, l’autorité souligne l’importance d’effectuer des vérifications régulières des mesures de sécurité mises en place par le responsable de traitement.

Concrètement, ces vérifications doivent être effectuées en amont, lors de la mise en production et après le déploiement des outils et/ou systèmes ou sites internet. Finalement, il s’agit pour les responsables de traitement de tester les mesures mises en place tout au long du processus. D’où le terme de vérifications « régulières ». La CNIL a pu préciser dans la décision BOUYGUES TELECOM que des tests réalisés chaque année (pendant plus de 2 années) n’étaient pas suffisants pour empêcher une éventuelle violation des données.

Par ailleurs, les vérifications de sécurité doivent être proportionnées au regard des moyens humains et techniques à la disposition du responsable de traitement. La CNIL a eu l’occasion de préciser cet indice : « le responsable de traitement disposait dès l’origine d’un dispositif permettant d’assurer la sécurité des données des utilisateurs, le recours à cette solution de sécurisation ne présentait pas un effort disproportionné et était peu coûteux dès lors qu’elle était disponible dans l’outil utilisé pour la conception de ses sites internet ».

Par ailleurs, dans sa décision HERTZ, la CNIL relève que le fait pour la société de prendre l’initiative de procéder à un audit de sécurité de son sous-traitant quelques semaines seulement après la survenance de la violation de données est un bon indice de ce contrôle régulier.

LECON 3 : SURVEILLER LES ACTIONS DE VOS SOUS-TRAITANTS

Lorsque des opérations de traitement de données sont confiées à des sous-traitants, cela ne décharge pas le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte3.

En effet, le responsable de traitement doit s’assurer et vérifier que toutes les composantes et options de l’outil ou du système par le prestataire répondent à des mesures de sécurité conformes au RGPD.

Avant la violation des données

Il est de la responsabilité du responsable de traitement de procéder aux vérifications des caractéristiques du produit (standard) retenu auprès de son prestataire. Dans la décision DARTY, ces vérifications auraient « permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion et d’empêcher le risque de violation des données ».

Dans la décision HERTZ, la violation de données résulte d’une erreur commise par le prestataire lors d’une opération de changement de serveur du fait d’une suppression accidentelle d’une ligne de code.

La CNIL a constaté une négligence de HERTZ dans la surveillance des actions de son prestataire. La négligence semble se caractériser dans les faits par l’absence de cahier des charges liés au développement du site internet et de protocole complet de tests lors du changement de serveur.

Après la violation des données

Dans la décision DARTY, aux vus des éléments du dossier, la CNIL a estimé que le responsable de traitement n’avait pas procédé à un suivi régulier des actions de son sous-traitant et a fait preuve de négligence dans la surveillance de son sous-traitant lors de la résolution de la violation de données. DARTY n’a fait qu’une seule demande de précisions auprès du sous-traitant sur les mesures correctives mises en place pour résoudre la faille de sécurité.

Dans ses relations avec des sous-traitants, il est recommandé au responsable de traitement de jouer un rôle actif et d’être en mesure de justifier les demandes relatives aux mesures correctives auprès de son sous-traitant. Ces demandes doivent être quotidiennes et exister avant et tout au long de la faille.

LECON 4 : DOCUMENTER POUR PROUVER

La logique « d’accountability » du RGPD4 impose au responsable de traitement de documenter pour démontrer la conformité. Pour contrôler la sécurité des outils et systèmes informatiques, la CNIL invite à procéder à des protocoles complets de tests et des audits. Ces tests (par exemple, d’intrusions ou d’audits) doivent bien évidemment être adaptés. A titre d’exemple, à propos de ligne qui compose un code informatique d’un site web, une « attention particulière doit être portée au mécanisme d’authentification et nécessite alors une revue manuelle du code ».

D’autres documents peuvent également aider à contrôler la sécurité des outils tels que le registre des traitements, les analyses d’impact, les divers contrats et avenants avec vos prestataires.

Plus largement, le RGPD prévoit des outils méthodologiques tels que les certifications, labels ou codes de bonne conduite5 dont l’application (…) peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement (art. 24.3) et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse (art. 83).

LECON 5 : NE PAS ATTENDRE POUR AGIR

Sécuriser et protéger les données traitées, et plus généralement le processus de mise en conformité au RGPD semble complexe.

Complexe mais pas insurmontable, n’hésitez pas à agir !

Toutes les équipes REGIMBEAU sont là pour vous accompagner et vous conseiller pour mettre en place des solutions techniques et juridiques afin de protéger et sécuriser vos traitements de données conformément aux nouvelles règles issues du RGPD.

1 Article 32 du Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016
2 Délibérations n°SAN-2018-009 du 6 septembre 2018, n° SAN-2018-012 du 26 décembre 2018, …
3 CE 11 mars 2015, Sté Total Raffinage Marketing et société X, n°368748
4 Article 24 du Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016
5 Articles 40 et 41 du RGPD