Délibération n°SAN 2017-010 du 18 juillet 2017
Délibération n°SAN-2017-011 du 20 juillet 2017

La CNIL a rendu deux délibérations à quelques jours d’intervalle relatives à des violations de données de sites internet. La CNIL a décidé « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité » d’agir plus vigoureusement à l’encontre des manquements à l’obligation de sécurité de l’article 34.

1. Les violations de données personnelles

Dans les deux cas ayant fait l’objet de ces délibérations, des données étaient facilement accessibles sur internet.

Pour une société de location de voitures, il s’agissait de l’accès pendant quelques mois aux données des 35 357 personnes adhérant au programme de réduction (identité, coordonnées, numéro de permis de conduire).

Pour une plateforme de location de véhicules entre particuliers, il s’agissait de l’accès pendant 3 ans aux données suivantes : nom, prénom, adresse, numéro de téléphone, date de naissance, numéro de permis de conduire et données de localisation du véhicule proposé à la location.

Dans les deux cas les sociétés prévenues par la CNIL ont immédiatement pris les mesures mettant fin à la violation de données.

Dans le premier cas l’incident était dû à l’action du prestataire de la société, alors que dans le deuxième, il était de la responsabilité directe de la société.

2. Décisions de la formation restreinte de la CNIL

Dans les deux cas la CNIL considère que les sociétés ont « manqué à leur obligation de prendre toutes les mesures pour préserver la sécurité des données personnelles des utilisateurs du site, conformément à l’article 34 de la loi Informatique et Libertés ».

2.1 Négligence de la société dans la surveillance des actions de son sous-traitant

Pour la première de ces sociétés, la violation de données était la conséquence d’une erreur commise par le prestataire lors d’une opération de changement de serveur. La formation restreinte considère que la violation de données résulte d’une négligence de la société dans la surveillance des actions de son sous-traitant.

Elle note que la société :

– n’a imposé aucun cahier des charges à son prestataire s’agissant du développement du site.

– l’opération de changement de serveur constituait dans le cas d’espèce une opération requérant une attention particulière. La société aurait dû s’assurer que la mise en production du site avait été précédée d’un protocole complet de test afin de garantir l’absence de toute vulnérabilité.

La CNIL a néanmoins tenu compte de la réactivité de la société dans la résolution de la violation de données, de son initiative de diligenter un audit de sécurité de son prestataire ainsi que de sa bonne coopération avec la Commission.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 40.000 euros.

2.2 Défaut élémentaire de sécurité

Pour la deuxième de ces sociétés, la CNIL a relevé :

– L’ampleur de l’incident par, la durée, le nombre de personnes concernées et les catégories de données concernées.

– Que l’incident était lié à un défaut élémentaire de sécurité. La société aurait notamment dû mettre en place un processus d’authentification permettant de restreindre l’accès aux données aux seules personnes habilitées. Cela aurait permis d’empêcher que tout internaute puisse y avoir accès.

La formation restreinte de la CNIL a prononcé un avertissement public à l’encontre de la société, estimant que les faits ayant eu lieu avant l’entrée en vigueur de la loi pour une République numérique, seul un avertissement était encouru par la société. En effet depuis cette loi la CNIL peut prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.

La CNIL averti que « Désormais, une sanction pécuniaire pourrait être prononcée dans un cas similaire ».

3. Portées de ces décisions

La CNIL a visiblement décidé qu’il était temps d’infliger des sanctions financières aux auteurs de manquements à l’obligation de sécurité, dans la mesure où d’une part, les incidents se multiplient et d’autre part, les sociétés sont dans l’obligation de se préparer au GDPR.

Il est à noter par ailleurs que la CNIL a été informée des failles de sécurité, dans les deux cas, par un site web se voulant récepteur et donneur d’alerte, qui annonce avoir alerté sur de nombreuses autres failles.

Comme il vaut mieux prévenir que guérir, il est grand temps de se mettre en conformité avec le GDPR afin de mieux contrôler ses données et ses partenaires contractuels.
Contact : stephanie.faber@squirepb.com